Der Einsatz von XP Professional mit Service Pack 1gwise.itwelzel.biz/Microsoft/Der Einsatz von XP Professio… · Web viewDer zugriff auf Internet Web-Sites kann durch den Einsatz

Der Einsatz von XP Professional mit Service Pack 1in einer verwalteten Umgebung:Überwachung der InternetkommunikationMicrosoft GmbH

Veröffentlicht: Februar 2003

InhaltsverzeichnisEINLEITUNG.........................................................................................................................................................3

AKTIVIERUNG UND REGISTRIERUNG.........................................................................................................6

DIE ANWENDUNGSHILFE.................................................................................................................................9

ZERTIFIKATSUNTERSTÜTZUNG.................................................................................................................12

DER GERÄTE-MANAGER................................................................................................................................16

TREIBERSCHUTZ..............................................................................................................................................18

DYNAMISCHES UPDATE.................................................................................................................................22

DIE EREIGNISANZEIGE...................................................................................................................................27

DATEIZUORDNUNGS-WEBDIENST..............................................................................................................31

HILFE- UND SUPPORTCENTER.....................................................................................................................36

INTERNET EXPLORER 6 SERVICE PACK 1................................................................................................42

INTERNETSPIELE UNTER WINDOWS XP...................................................................................................47

INTERNET-INFORMATIONSDIENSTE.........................................................................................................50

INTERNETDRUCKEN........................................................................................................................................53

INTERNET PROTOKOLL VERSION 6 (IPV6)..............................................................................................57

MSN EXPLORER.................................................................................................................................................63

NETMEETING.....................................................................................................................................................66

ONLINE-GERÄTEHILFE..................................................................................................................................78

OUTLOOK EXPRESS 6 SP1..............................................................................................................................81

PLUG-AND-PLAY...............................................................................................................................................86

PROGRAMMKOMPATIBILITÄTS-ASSISTENT..........................................................................................90

REMOTEUNTERSTÜTZUNG...........................................................................................................................94

DER SUCH-ASSISTENT...................................................................................................................................100

WINDOWS FEHLERBERICHTERSTATTUNG...........................................................................................103

WINDOWS MEDIA PLAYER..........................................................................................................................113

WINDOWS MESSENGER................................................................................................................................125

WINDOWS ZEITDIENST.................................................................................................................................132

WINDOWS UPDATE UND AUTOMATISCHES UPDATE.........................................................................143

ANHÄNGE..........................................................................................................................................................150

ANHANG A: INFORMATIONSQUELLEN FÜR DEN EINSATZ AUTOMATISIERTER INSTALLATIONEN...........................................................................................................................................151

ANHANG B : INFORMATIONSQUELLEN FÜR DEN EINSATZ VON GRUPPENRICHTLINIEN....154

ANHANG C: IMPORT VON RICHTLINIENEINSTELLUNGEN FÜR WINDOWS XP AUF EINEN SERVER UNTER WINDOWS 2000 SP3.........................................................................................................158

ANHANG D: APPLICATION COMPATIBILITY TOOLKIT.....................................................................160

Anhang E: Gemeinsam genutzte Internetverbindung (ICS) und Internetverbindungsfirewall (ICF)...................163

EinleitungDas Betriebssystem Microsoft® Windows® XP Professional beinhaltet eine Vielzahl an Technologien, die mit dem Internet kommunizieren, um für erhöhte Anwenderzufriedenheit und zuverlässigere Funktionalität zu sorgen. Internet-Browser und E-Mail-Technologien sind offenkundige Beispiele, aber auch andere Technologien, wie beispielsweise Windows Update, helfen dem Anwender über die neueste Software und Produktinformationen zu verfügen, u.a. Bugfixes und Sicherheits-Patches. Diese Technologien bringen viele Vorteile mit sich, aber sie bedingen auch Kommunikation mit dem Internet, die der Administrator steuern können muss.

Die Steuerung dieser Kommunikation wird durch eine Vielzahl von Optionen erreicht, die sich in einzelnen Komponenten, im Betriebssystem als Ganzes, sowie in verschiedenen Serverkomponenten befinden, welche für die organisationsweite Verwaltung und Konfiguration entwickelt wurden. Beispielsweise können Sie als Administrator Gruppenrichtlinien für die Kommunikationssteuerung einsetzen, oder Sie leiten sämtliche Anfragen an die interne Organisations-Web-Site, anstatt sie über das Internet aufzurufen.

Dieses Whitepaper beinhaltet Informationen über den Kommunikationsfluss zwischen den Komponenten von Windows XP Professional Service Pack 1 (SP1) und dem Internet, und wie Sie in einer Organisation mit vielen Mitarbeitern diese Kommunikation eingrenzen, steuern oder abschalten können. Das Whitepaper soll Sie, den Administrator, bei der Strategieplanung für einen unternehmensweiten Einsatz von Windows XP Professional SP1 unterstützen, so dass in Ihrem Unternehmensnetzwerk eine angemessene Sicherheitsstufe eingehalten wird.

Dieses Whitepaper beinhaltet Richtlinien für die Steuerung von Komponenten in den folgenden Betriebssystemversionen:

Windows XP Professional SP1 auf Anwenderrechnern. Der Fokus richtet sich auf Installations- und Konfigurationsschritte.

Anmerkung Dieses Whitepaper behandelt keine Versionen außer Windows XP Professional SP1. Beispielsweise deckt es weder die Windows XP Home Edition noch die Windows XP Media Center Edition ab.

Windows 2000 Service Pack 3 (SP3) auf Servern. Zwar werden diese Computer in diesem Whitepaper nicht eingehend behandelt, jedoch beinhaltet es Informationen, wie Sie diese Server in Ihr Gesamtkonzept einbinden sollten. Es wird u.a. erörtert, wie Sie mit einem Windows 2000 SP3 Server per Gruppenrichtlinie die Konfiguration von Windows XP Professional SP1 Endsystemen beeinflussen können.

Das Whitepaper ist um die Einzelkomponenten von Windows XP Professional SP1 strukturiert, so dass Sie die von Ihnen benötigten Informationen einfach aufspüren können.

Was in diesem Whitepaper behandelt wird

In den folgenden Abschnitten werden diese Themen behandelt:

Komponenten, die in diesem Whitepaper behandelt werden

Komponenten, die in diesem Whitepaper nicht behandelt werden

Sicherheitsgrundlagen, die den Rahmen dieses Whitepapers sprengen würden, mit Verweisen auf andere Informationsquellen zu diesen Themen

Komponenten, die in diesem Whitepaper behandelt werden

Dieses Whitepaper beinhaltet:

Informationen über Komponenten, die im normalen Betrieb Informationen an Web-Sites verschicken, oder von diesen empfangen. Ein Beispiel hierfür sei die Windows Fehlerberichterstattung; entscheidet sich ein Anwender für den Gebrauch dieser Komponente, so versendet diese Informationen an eine Web-Site im Internet.

Informationen über Komponenten, die standardmäßig Knöpfe oder Links ins Internet bereitstellen, die dem Anwender die Kommunikation erleichtern sollen. Ein Beispiel hierfür sei die Ereignisanzeige; Öffnet ein Anwender die Ereignisanzeige und klickt auf eine Verknüpfung, so erhält er folgendes Dialogfenster: “Die Ereignisanzeige wird folgende Informationen über das Internet versenden. Sind Sie einverstanden?” Klickt der Anwender auf OK, so werden Information zu diesem Ereignis an eine Microsoft Web Site verschickt, die wiederum mit zusätzlichen Informationen zu diesem Ereignis antwortet.

Kurze Beschreibungen von Komponenten wie dem Microsoft Internet Explorer und Microsoft Outlook® Express, die für die Kommunikation mit dem Internet entwickelt wurden. Die Beschreibung aller Aspekte der angemessenen Sicherheitsstufen einer Unternehmens-IT, in der Anwender Informationen mit dem Internet austauschen, E-Mails versenden und empfangen, oder Ähnliches, würde den Rahmen dieses Whitepapers sprengen. In diesem Whitepaper werden dennoch Grundlagen zur Funktionsweise des Internet Explorer und von Outlook Express behandelt, sowie Vorschläge und Verweise auf andere Informationsquellen, die sich mit der Balance zwischen Benutzerrechten für den Internetzugang und Anforderungen an die Sicherheit des Netzwerkes.

Komponenten, die in diesem Whitepaper nicht behandelt werden

Dieses Whitepaper beinhaltet nicht:

Informationen über den Einsatz und die Verwaltung von Anwendungen, Skripten, Werkzeugen, Web-Schnittstellen, Microsoft ActiveX® Steuerungselementen, Erweiterbare Benutzeroberflächen, .NET Framework und Anwendungsprogrammierschnittstellen (APIs). Hierbei handelt es entweder um Anwendungen oder Elemente, die Anwendungen unterstützen, welche über die Funktionsweise des Betriebssystems hinausgehen. Um die Auswirkungen solcher Anwendungen (Web-Basierte Anwendungen eingeschlossen), Skripte, Werkzeuge und anderer Software, die unter Windows XP Professional SP1 zum Einsatz kommen, abschätzen zu können, müssen Sie sich mit dem Softwarehersteller in Verbindung setzen.

Informationen über Komponenten, deren lokal abgelegte Protokollierung verschickt oder an Support-Mitarbeiter weitergereicht werden können. Mit diesen Informationen verhält es sich wie mit allem, was per E-Mail oder anderweitig über das Internet versendet werden kann. Richtlinien über den Umgang mit diesen Informationen sollten Sie gemeinsam mit Ihrem Support-Team erarbeiten.

Weiterführende Sicherheitsgrundlagen

Dieses Whitepaper soll Ihnen bei der Strategieplanung für den Einsatz von Windows XP Professional SP1 helfen, so dass die Sicherheit Ihrer Netzwerkkomponenten gewährleistet bleibt. Dieses Whitepaper beschreibt keine Sicherheitsgrundlagen, weder Strategien noch Risikomanagement-Methoden, die das Fundament der Unternehmenssicherheit darstellen. Es wird davon ausgegangen, dass Sie dem Studium dieser Sicherheitsgrundlagen als Teil Ihrer alltäglichen administrativen Tätigkeit nachgehen.

Diese Sicherheitsgrundlagen beinhalten:

Überwachung. Dies beinhaltet den Einsatz von verschiedensten Überwachungsprogrammen, inklusive Werkzeugen die offene Anschlüsse auf Clients und Servern dokumentieren.

Virenschutz-Software

Das Prinzip der geringsten Berechtigungsstufe (sich beispielsweise nicht als Administrator anzumelden, wenn normale Benutzerrechte vollkommen ausreichen).

Unbenötigte Software und Dienste nicht auf Servern laufen lassen, sondern sich auf die Minimalkonfiguration zu beschränken.

Hohe Kennwortsicherheit für alle Anwender, um das Entschlüsseln von Kennwörtern zu erschweren.

Risikobewertung als Grundlage für Sicherheitsplanungen.

Softwareeinsatz und Wartungsroutinen mit dem Ziel, Ihre Programme mit Sicherheitsupdates auf dem neuesten Stand zu halten.

Vielschichtige Verteidigung. In diesem Kontext bedeutet dies Redundanz in den Sicherheitssystemen, zum Beispiel Firewall-Einstellungen in Verbindung mit Gruppenrichtlinien um eine bestimmte Form der Internetkommunikation zu überwachen.

Andere Informationsquellen über Sicherheitsgrundlagen

Folgende Bücher und Web-Sites sind nur eine Auswahl der unzähligen Informationsquellen über Sicherheitsgrundlagen:

Howard, Michael, et al. Designing Secure Web-Based Applications for Microsoft Windows 2000. Redmond, WA: Microsoft Press, 2000.

Howard, Michael, and David LeBlanc. Writing Secure Code. Redmond, WA: Microsoft Press, 2002.

„The Prescriptive Architecture Guides“ auf der Microsoft Technet Web-Site unter:

www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/idc/pag/pag.asp

http://go.microsoft.com/fwlink/?LinkId=9913

Aktivierung und Registrierung Die folgenden Abschnitte beinhalten Informationen zu folgenden Themen:

Die Ziele der Aktivierung und Registrierung in Verbindung mit einer Neuinstallation oder einem Upgrade

Was ein Computer während Aktivierung und Registrierung über das Internet kommuniziert

Die Entscheidung für das Volumen-Lizenzprogramm, so dass eine Produktaktivierung nicht stattfindet, um den Informationsaustausch mit dem Internet gering zu halten

Ziele

Dieser Abschnitt erörtert in Kürze die Unterschiede zwischen Produktaktivierung und Registrierung und deren Zweck.

Produktregistrierung umfasst die Angabe von persönlichen Informationen an Microsoft, wie beispielsweise einer E-Mail Adresse, um zukünftige Informationen zu Updates und Angeboten zu erhalten. Registrierung erfolgt auf Produktbasis und ist nicht verpflichtend. Nach erfolgter Registrierung werden alle angegebenen Informationen in einem vielfältig abgesicherten Speicher hinterlegt und werden niemals von Microsoft herausgegeben.

Produktaktivierung umfasst eine Authentifizierung mit Microsoft, bei der nicht-personenbezogene Informationen übermittelt werden, wie die Produkt-ID von Microsoft Windows XP Professional SP1 und ein Hardware-Hash für den Computer, mit deren Hilfe die Zahl der Raubkopien reduziert werden soll (ein Hardware-Hash ist eine nicht-eindeutige Zahl, die aus der Hardwarekonfiguration des Computers errechnet wird). Die Aktivierung von Windows XP erfolgt in Fällen, wo das Produkt nicht als Bestanteil eines Volumen-Lizenzprogramms wie z.B. Microsoft Select License, Microsoft Enterprise Agreement, oder Microsoft Open License erworben wird. Viele Computerhersteller können die Produktaktivierung umgehen, indem sie die vorinstallierte Software an das BIOS des Computers binden. In diesem Fall ist keine Aktivierung der Software nötig. Detaillierte Informationen über die Produktaktivierung finden Sie auf der folgenden Web-Site:

www.microsoft.com/piracy/basics/activation/

Weitere Informationen finden Sie unter „Auswahl einer Volumen-Lizenz”, weiter unten in diesem Abschnitt.

Aktivierung zielt auf Verringerung von Software-Piraterie und ist gleichzeitig Garant für Kunden von Microsoft, dass sie die Qualität erhalten, die sie erwarten. Aktivierung bedeutet, dass ein bestimmter Produktschlüssel mit der Hardware eines Computers verknüpft wird und daher nicht für eine Aktivierung auf anderen Computern benutzt werden kann (es sei denn, der Besitzer nimmt an einem Sonderprogramm Teil, das ihn zu weiteren Aktivierungen berechtigt, z. B. einem MSDN-Programm.

Überblick

Produktaktivierung ist eine Technologie, die entwickelt wurde, um die rechtmäßige Lizenzierung eines Softwareprodukts sicher zu stellen. Sollten Sie über das Recht zur Softwarevervielfältigung aus einem Microsoft Volumen-Lizenzabkommen verfügen und haben Windows XP Professional SP1 im Handel oder vorinstalliert erworben, so können Sie die Software mit einem Dienstprogramm vervielfältigen. Als Teilnehmer in einem Volumen-Lizenzprogramm können Sie auf die Produktaktivierung verzichten.


Kommunikation über das Internet

Windows XP SP1 kann über das Internet oder per Telefon aktiviert werden. Während der Aktivierung über das Internet sieht die Kommunikation wie folgt aus:

Gesendete oder empfangene Informationen: Während der Aktivierung von Windows XP SP1 werden folgende Informationen an einen Aktivierungs-Server von Microsoft geschickt:

Anfrage-Informationen, d.h. die Informationen, die für den Aufbau der Kommunikation mit dem Aktivierungs-Server notwendig ist.

Produktschlüssel-Informationen in Form der Produkt-ID und dem eigentlichen Produktschlüssel.

Ein Hardware-Hash (eine nicht-eindeutige Zahl, die aus der Hardwarekonfiguration des Computers errechnet wird). Der Hardware-Hash beinhaltet keinerlei Angaben zu Person oder Software. Er basiert auf einem MD5-Digest-Algorithmus und besteht aus einer Kombination aus MD5-Hashwerten und diversen Hardwarekomponenten. Der Hardware-Hash lässt weder Rückschlüsse auf das Fabrikat des Computers zu, noch auf andere ursprüngliche Informationen über das Gerät.

Datum und Uhrzeit.

Die eingestellte Systemsprache (so dass Fehlermeldungen in der korrekten Sprache zugestellt werden können).

Das zu aktivierende Betriebssystem (und die Versionsnummer der Aktivierungssoftware).

Abhängig von den Vorlieben des Eigentümers werden die oben aufgeführten Informationen über das Internet an einen Aktivierungs-Server verschickt, oder die Produktschlüssel-Informationen werden mit dem Hardware-Hash kombiniert via Telefon durchgegeben.

Standardeinstellung und die Möglichkeit der Deaktivierung: Die Produktaktivierung kann nur durch eine Installation mit Software aus einem der Microsoft Volumen-Lizenzabkommen unterdrückt werden. Die Produktaktivierung kann außerdem von vielen Computerherstellern umgangen werden, indem das Betriebssystem an das BIOS des Computers gebunden wird. In allen anderen Fällen kann die Produktaktivierung nicht unterdrückt werden.

Benachrichtigung des Benutzers: Sollte eine Aktivierung nötig sein, erinnert das Betriebssystem den Anwender bei jeder Anmeldung und in weiteren regelmäßigen Abständen bis zum Ablauf der Aktivierungsfrist wie sie im Endbenutzer-Lizenzvertrag angegeben ist (die übliche Frist beträgt 30 Tage). Sollten Sie die Software durch eines der Volumen-Lizenzprogramme bezogen haben, so ist keine Aktivierung nötig und daher erscheinen auch keine Erinnerungen an die Aktivierung.

Log-Datei: Einträge, die den Fortschritt von Aktivierung und Registrierung verfolgen (z.B. Rückgabewerte und Fehlercodes), werden in einer Log-Datei festgehalten (systemroot\setuplog.txt). Diese Datei unterstützt Sie bei der Fehlersuche, falls die Aktivierung oder ein anderer Teil des Setups fehlschlagen. Sollte der Eigentümer von Windows XP sich für eine Registrierung seines Produkts entscheiden werden zwei Einträge in dieser Log-Datei vorgenommen. Ein Eintrag hält die Regionalen Einstellungen für das Betriebssystem fest, während der zweite bestimmt, ob der Anwender von Microsoft (oder dem Computerhersteller) über Produktupdates und Sonderagebote unterrichtet werden möchte. Keine weiteren Registrierungsdaten werden aufgezeichnet.

Datenschutzrichtlinie, Verschlüsselung und Speichern der Aktivierungsdaten: Die Privatsphäre des Anwenders stellt einen grundlegenden Designaspekt der Produktaktivierung dar. Während der Aktivierung werden keinerlei personenbezogene Daten übermittelt. Daten werden verschlüsselt übertragen (HTTPS) und auf überwachten Servern von Microsoft gespeichert. Zugriff auf die Daten erhalten nur wenige ausgesuchte Mitarbeiter aus dem Server- und Programm-Support, die die Aktivierungs-Server und das Aktivierungsprogramm beaufsichtigen.

Informieren Sie sich über die Bestimmungen zum Datenschutz bei der Aktivierung unter:

www.microsoft.com/piracy/basics/activation/apolicy.asp


Datenschutzrichtlinie, Verschlüsselung und Speichern der Registrierungsdaten: Registrierungsdaten, die vom Anwender für die Übertragung zu Microsoft ausgewählt wurden werden während der Übertragung verschlüsselt (HTTPS). Sie werden unverschlüsselt auf überwachten Servern von Microsoft gespeichert und können dort von Mitarbeitern des Kundendienstes und des Marketings eingesehen werden.

Informieren Sie sich über die Bestimmungen zum Datenschutz bei der Registrierung unter:

www.microsoft.com/piracy/basics/activation/prvcyms.asp

Übertragungsprotokoll und Anschluss: Bei einer Aktivierung von Windows XP SP1 über das Internet, bei der kein Modem verwendet wird, geht die erste Übertragung über HTTP und Anschluss 80 an wpa.one.microsoft.com/ um den HTTP Antwortcode zu überprüfen. Ein Antwortcode kleiner als 500 weist auf die Verfügbarkeit eines Aktivierungs-Servers hin. (Bei der Verwendung eines Modems wird lediglich geprüft, ob das Modem für eine Internetverbindung benutzt werden kann.) Falls ein Aktivierungs-Server erreicht werden kann (oder eine Internetverbindung via Modem hergestellt werden kann) werden sämtliche Aktivierungs- oder Registrierungsdaten via HTTPS Anschluss 443 übertragen.

Verbesserungen

Microsoft hat mit Service Pack 1 für Windows XP zusätzliche technologische Maßnahmen ergriffen, mit deren Hilfe rechtmäßig lizenzierte Kunden in den Genuss sämtlicher Vorteile ihrer gültigen Lizenz kommen sollen. Einige dieser Änderungen umfassen:

Gültigkeitsprüfung des Produktschlüssels während der Aktivierung.

Eine zusätzliche 3-tägige Aktivierungsfrist, wenn eine Reaktivierung aufgrund einer signifikanten Veränderung der Hardware nötig wird. (Vor Service Pack 1 gab es diese Fristverlängerung nicht.)

Die Möglichkeit der Verschlüsselung des Produktschlüssels in einer unbeaufsichtigten Installation für Kunden des Volumen-Lizenzprogramms.

Weitere Informationen hinsichtlich der Änderungen an der Aktivierung in Service Pack 1von Windows XP finden Sie unter:

www.microsoft.com/licensing/resources/vol/volkeys_winxpsp1.asp

www.microsoft.com/piracy/basics/activation/windowsxpsp1.asp

Auswahl einer Volumen-Lizenz

Sollten Sie von dem in einem Volumen-Lizenzabkommen zugestanden Recht zum Kauf oder der Vervielfältigung von Software Gebrauch machen, so brauchen Sie keine Aktivierung auf den einzelnen Endsystemen vorzunehmen. Die Teilnahme an einem Volumen-Lizenzprogramm ist nicht schwierig. Kunden können bereits ab dem Kauf von 5 Lizenzen am Open License Programm teilnehmen. Weitere Informationen finden Sie unter:

www.microsoft.com/licensing/


http://www.microsoft.com/piracy/basics/activation/windowsxpsp1.asp

http://www.microsoft.com/licensing/resources/vol/volkeys_winxpsp1.asp

http://www.microsoft.com/piracy/basics/activation/prvcyms.asp

Die AnwendungshilfeDie folgenden Abschnitte beinhalten Informationen zu folgenden Themen:

Die Vorteile der Anwendungshilfe

Wie kommuniziert die Anwendungshilfe mit Seiten im Internet

Wie lässt sich die Anwendungshilfe steuern, um Informationsaustausch mit dem Internet zu vermeiden

Vorteile und Ziele

Die Anwendungshilfe ist eine Technologie zur Sicherung der Programmkompatibilität, die Sie bei der Installation und dem Einsatz von Anwendungen unter Microsoft Windows XP Professional Service Pack 1 (SP1) unterstützen soll. Da einige Anwendungen, die für den Einsatz unter früheren Versionen von Windows geschrieben wurden, unter Windows XP SP1 möglicherweise nicht anstandslos arbeiten, wurde die Programmkompatibilität zur Lösung dieser möglichen Probleme und zur Steigerung der Anwenderzufriedenheit entwickelt.

Die Anwendungshilfe wird meistens genutzt, um tief im System verankerten Anwendungen – beispielsweise Antivirensoftware und Dienstprogramme für den Datenträgerzugriff – den Zugriff zu blockieren, falls diese nicht für den Einsatz unter Windows XP geschrieben wurden. Durch das Verhindern der Installation solcher Anwendungen sollen schwerwiegende Fehler vermieden werden, die die Systemintegrität kompromittieren könnten.

Überblick

Auch wenn Sie Anwendungen für den Einsatz unter Windows XP SP1 gründlichen Tests unterziehen besteht die Möglichkeit, dass einige der eingesetzten Anwendungen zu Instabilitäten bei den Endsystemen führen können.

Die Anwendungshilfe dient als letzte Sicherung gegen die Installation inkompatibler Anwendungen durch den Anwender und wird nur selten aufgerufen. Sollte ein Anwender eine inkompatible Anwendung starten wird die Anwendungshilfe standardmäßig aufgerufen. Windows XP greift zur Feststellung der Kompatibilität auf Informationen in einer lokalen Datenbank zu. Diese Informationen werden in einer Datenbankdatei namens SYSMAIN.SDB hinterlegt. Die Warnmeldungen für den Fall, dass eine Anwendung nicht ausgeführt werden kann, werden wiederum in einer anderen Datenbankdatei, APPHELP.SDB, gespeichert. Das Betriebssystem nutzt die passenden Informationen aus SYSMAIN.SDB, um die entsprechenden Meldungen aus APPHELP.SDB für den Anwender darzustellen. Die Liste der inkompatiblen Anwendungen wird von Windows Update auf dem neuesten Stand gehalten

Die Anwendungshilfe generiert eine Nachricht für den Anwender, wenn dieser im Begriff ist, einen kritischen Prozess zu starten. Es erscheint ein Dialogfeld mit einer kurzen Beschreibung des Problems und einem Icon, welches auf die Schwere des Problems hinweist:

Ein gelbes Dreieck mit einem Ausrufezeichen bedeutet, dass die Anwendung nicht geblockt wird und daher vom Anwender ausgeführt werden kann.

Ein rotes Stoppschild bedeutet, dass die Anwendung geblockt wird und daher nicht vom Anwender ausgeführt werden kann.

Wie diese Mitteilungen der Anwendungshilfe zu einer Interaktion des Benutzers mit dem Internet führen können wird im folgenden Abschnitt beschrieben.

Obwohl die Anwendungshilfe wertvolle Funktionen bereitstellt, könnten Administratoren die Installation inkompatibler Anwendungen verhindern wollen, welche die Anwendungshilfe automatisch aufrufen würde und damit zu einer Interaktion des Anwenders mit dem Internet führen könnte. Sie können eigene Anwendungshilfe-Nachrichten generieren, die den Anwender auf eine interne Seite mit weiterführenden Informationen umleiten. Detaillierte Informationen hierzu finden Sie im Abschnitt “Steuerung der Anwendungshilfe zur Vermeidung eines Informationsaustauschs mit dem Internet.”


Im Dialogfeld der Anwendungshilfe können Anwender die Schaltfläche Details anklicken, die auf zusätzliche Informationen im Hilfe- und Supportcenter verweist. Der Inhalt dieser Hilfe wird entweder von Microsoft.com oder von einer lokalen HTML-Datei bereitgestellt, je nachdem, ob der Computer online ist.

Die folgende Liste beschreibt die Interaktion mit dem Internet nach Aufruf der Anwendungshilfe:

Die Übermittlung eindeutiger Informationen: Die Auswahl der Details-Schaltfläche überträgt eine Seite von Microsoft.com. Auf dieser Seite kann sich, je nach Anwendung, ein Link auf eine Web-Site befinden, die nicht von Microsoft betrieben wird. Der URL für eine solche Web-Site ist für jede Anwendung eindeutig. Keine Informationen werden hierbei über das Internet verschickt und der Anwender wird nicht identifiziert.

Standard- und empfohlene Einstellungen: Die Anwendungshilfe wird standardmäßig aufgerufen. Empfohlene Einstellungen werden im Abschnitt "Steuerung der Anwendungshilfe zur Vermeidung eines Informationsaustauschs mit dem Internet" besprochen.

Auslöser: Ein Anwender startet eine Anwendung, die nicht mit Windows XP SP1 kompatibel ist.

Benachrichtigung des Anwenders: Bei der Auswahl der Details-Schaltfläche gibt es keinen Hinweis darauf, ob die bereitgestellten Informationen aus einer internen oder externen Quelle stammen.

Protokollierung: Keine Ereignisse bezüglich der Anwendungshilfe werden aufgezeichnet.

Verschlüsselung: Es werden keine Informationen vom Client über das Internet übertragen.

Datenschutzrichtlinie: Die Anwendungshilfe unterliegt denselben Richtlinien wie Windows Update.

Übertragungsprotokoll und Anschluss: Das Übertragungsprotokoll ist HTTP über Anschluss 80.

Unterbinden der Übertragung: Sie können die Interaktion mit dem Internet abschalten, indem Sie eigene Anwendungshilfe-Nachrichten bereitstellen.

Steuerung der Kommunikation über das Internet

Sie können Anwendungen mit bekannten Kompatibilitätsproblemen, wie beispielsweise Antiviren-Software, blocken. Weiterhin können Sie eigene Anwendungshilfe-Nachrichten erstellen, die dem Anwender das Problem schildern und ihn auf eine Intranetseite mit weiterführenden Informationen verweisen. Verwenden Sie hierfür den Kompatibilitäts-Administrator aus dem Application Compatibility Toolkit, welches bislang nur in englischer Sprache vorliegt.

Auf der CD von Windows XP finden Sie das Application Compatibility Toolkit, die eine Sammlung von Werkzeugen und Dokumentationen beinhaltet, welche Ihnen bei der Lösung eines Problems mit der Programmkompatibilität helfen sollen. Administratoren können diese Sammlung herunterladen und automatisch updaten lassen.

Weiterführende Informationen zum Application Compatibility Toolkit finden Sie in Anhang D, „Application Compatibility Toolkit“.

Auswirkungen auf Anwender

Die Anwenderzufriedenheit mit der Anwendungshilfe wird sich nicht ändern, wenn Sie das Ausführen von Anwendungen mit bekannten Inkompatibilitäten verhindern und eigene Benachrichtigungen erstellen. Der einzige Unterschied besteht darin, dass der Anwender beim Klicken der Schaltfläche Details auf eine interne Seite gelenkt wird, anstatt Informationen über das Internet anzufordern. Dadurch verhindern Sie nicht nur eine Verbindung mit dem Internet, sondern gleichsam die Installation von inkompatibler Software.

Erstellung eigener Benachrichtigungen

Sobald Sie die Sammlung heruntergeladen haben können Sie mit Hilfe des Kompatibilitäts-Administrators sowohl eigene Anwendungshilfe-Benachrichtigungen erstellen, als auch die Ausführung bestimmter Anwendungen verhindern.

Installation des Application Compatibility Toolkit1. Öffnen Sie den Ordner\Support\Tools auf der CD von Windows XP.

2. Starten Sie ACT20.EXE. Das Installationsprogramm verweist Sie auf einen Link zum Download der Sammlung.

3. Folgen Sie den Installationsanweisungen. Nach erfolgreicher Installation können Sie den Kompatibilitäts-Administrator starten und die gewünschten Änderungen durchführen.

Hinweis Durch einen Doppelklick auf die Datei ACT20.EXE werden Sie automatisch auf die neueste Version der Dienstprogrammesammlung geleitet. Sie können diese Sammlung aber auch unter www.microsoft.com/windowsxp/appexperience/ herunterladen

Erstellung eigener Anwendungshilfe-Benachrichtigungen 1. Öffnen Sie Start\ Alle Programme, und öffnen Sie dann das Application Compatibility Toolkit.

2. In der Konsole klicken Sie auf Eigene Datenbanken, und dann auf Neue Datenbank.

3. Auf der Werkzeugleiste klicken Sie Anwendungshilfe. Es erscheint der Erstellen einer eigenen Anwendungshilfe-Benachrichtigung Dialogfenster.

4. Folgen Sie den Anweisungen des Dialogs.

5. Speichern Sie die neue Datenbankdatei.

Hinweis Sobald Sie alle Änderungen gespeichert haben können Sie diese auf zahlreiche Computer mit Windows XP SP1 verteilen. Lesen Sie hierzu bitte „Kompatibiläts-Verbesserungen verteilen" in der Hilfe des Kompatibilitäts-Administrators.

Weiterführende Informationen

Einen vollständigen Überblick über Programm-Kompatibilität finden Sie unter:

www.microsoft.com/windowsxp/appexperience/default.asp

http://www.microsoft.com/windowsxp/appexperience/default.asp

http://www.microsoft.com/windowsxp/appexperience/

ZertifikatsunterstützungDie folgenden Abschnitte stellen Informationen zu diesen Themen bereit:

Die Vorteile der Zertifikats-Funktionalitäten, die mit Microsoft Windows XP Professional Service Pack 1 (SP1) bereitgestellt werden. Hierzu zählen die Vorteile der Aktualisierung von Stammzertifikaten

Die Kommunikation von Windows XP SP1 bei der Aktualisierung von Stammzertifikaten mit dem Internet

Steuerung des Informationsaustausches bei der Aktualisierung von Stammzertifikaten mit dem Internet

Vorteile und Nutzen

Zertifikate und die PKI (Public Key Infrastructure), deren Bestandteil sie sind, unterstützen Authentifizierung und verschlüsselten Datenaustausch in offenen Netzwerken, wie Internet, Intranets und Extranets. Ein Zertifikat bindet einen Öffentlichen Schlüssel sicher an den entsprechenden Privaten Schlüssel. Mit dem Einsatz von Zertifikaten entfällt die aufwändige Aufbewahrung diverser Kennwörter für verschiedene Anwender auf Computern im Internet für die individuelle Authentifizierung. Stattdessen vertraut der Computer einer Zertifizierungsstelle. Dieses Vertrauen wird durch eine Zertifizierungshierarchie etabliert, die schlussendlich auf einem Stammzertifikat einer vertrauenswürdigen Stammzertifizierungsstelle beruht.

Beispiele für die Nutzung von Zertifikaten:

Aufbau einer SSL-Verbindung (Secure Sockets Layer)

Annahme eines Zertifikats als Bestandteil einer Softwareinstallation

Annahme eines Zertifikats bei Erhalt einer verschlüsselten oder digital signierten E-Mail

Für den Umgang mit einer PKI ist es gleichsam wichtig zu verstehen wie Zertifikate ausgestellt werden, ebenso wie sie gesperrt werden und wie der Client von dieser Sperrung in Kenntnis gesetzt wird. Diese Sperrinformationen sind entscheidend für eine Anwendung, die sich vergewissern muss, dass ein Zertifikat in diesem Augenblick vertrauenswürdig ist, und nicht, ob es irgendwann einmal vertrauenswürdig war. Informationen zu gesperrten Zertifikaten werden häufig in Form einer Zertifikatssperrliste verwaltet, obgleich dies nicht die einzige Form der Aufbewahrung ist. Anwendungen, die mit einem Zertifikat versehen wurden, könnten über eine Seite im Internet oder einem Intranet auf Informationen bezüglich der Zertifizierungsstellen und ihrer Sperrlisten zugreifen.

In einem Unternehmen mit Microsoft Windows XP Professional als Client- und Windows 2000 Server, Windows 2000 Advanced Server, oder Windows 2000 Datacenter Server als Server-Betriebssystem, stehen Ihnen eine Reihe von Möglichkeiten zum Umgang mit Zertifikaten und Zertifikatssperrlisten (oder anderen Informationen hinsichtlich der Sperrung von Zertifikaten) zur Verfügung. Weiterführende Informationen zu diesen Einstellungen finden Sie im nächsten Abschnitt: „Überblick: Der Einsatz von Zertifikatskomponenten.“

Die Aktualisierung von Stammzertifikaten unter Windows XP SP1 wurde so entwickelt, dass automatisch die Liste der vertrauenswürdigen Stellen auf der Microsoft Windows Update Web-Site überprüft wird, falls eine Anwendung diese Prüfung verlangt. Insbesondere im Falle einer nicht direkt vertrauenswürdigen Zertifizierungsstelle prüft die Stammzertifikats-Aktualisierungskomponente, ob die Zertifizierungsstelle der Liste vertrauenswürdiger Zertifizierungsstellen auf der Windows Update Web-Site hinzugefügt wurde. Sollte die Zertifizierungsstelle der von Microsoft geführten Liste der vertrauenswürdigen Zertifizierungsstellen hinzugefügt worden sein, wird ihr Zertifikat automatisch dem Speicher für vertrauenswürdige Zertifizierungsstellen auf dem Computer des Anwenders hinterlegt. Beachten Sie bitte, dass die Aktualisierung von Stammzertifikaten eine optionale Komponente von

Windows XP SP1 darstellt, d.h. sie kann von der Installation des Betriebssystems auf einem Computer ausgeschlossen oder nachträglich entfernt werden.

Überblick

In einem Unternehmen mit Microsoft Windows XP Professional als Client- und Windows 2000 Server, Windows 2000 Advanced Server, oder Windows 2000 Datacenter Server als Serverbetriebssystem, stehen Ihnen eine Reihe von Möglichkeiten zum Umgang mit Zertifikaten zur Verfügung. Beispielsweise können Sie eine vertrauenswürdige Stammzertifizierungsstelle innerhalb Ihrer Organisation erstellen, wie im Folgenden beschrieben. Den ersten Schritt stellt die Installation der Zertifikatsdienste dar. Ein weiterer Schritt wäre die Veröffentlichung der Sperrlisten in Active Directory®. Vor der Implementierung einer PKI sollten Sie sich mit dem Einsatz von Gruppenrichtlinien in Bezug auf Zertifikate vertraut machen.

Wenn Sie eine Zertifizierungsstelle innerhalb Ihrer Organisation aufsetzen, so können die von ihr ausgestellten Zertifikate einen Verweis auf weitere Informationen Ihrer Wahl zur Gültigkeitsprüfung eines Zertifikates enthalten. Diese Informationen können auf einem Web-Server oder in einem Verzeichnis innerhalb der Organisation hinterlegt werden. Da die detaillierte Beschreibung des Einsatzes von Stammzertifizierungsstellen, Zertifikatssperrlisten und anderen Verfahren zur Erstellung einer PKI den Rahmen dieses Whitepapers sprengen würde, sei an dieser Stelle auf folgende, weiterführende Informationen verwiesen:

„Troubleshooting Certificate Status and Revocation,“ ein Whitepaper auf der Microsoft Technet Web-Site:

www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/WinXPPro/support/tshtcrl.asp

Die Hilfe von Windows 2000 Server, Advanced Server oder Datacenter Server.

Die Windows-2000-Hilfe finden Sie unter:

www.microsoft.com/windows2000/techinfo/proddoc/

Das Windows-2000-Server-Resource-Kit, Deployment Planning Guide (insbesondere das Kapitel „Active Directory Infrastructure“).

Die Resource Kits von Windows 2000 finden Sie unter:

www.microsoft.com/reskit/

In mittleren bis großen Organisationen wird zur bestmöglichen Steuerung des Informationsaustauschs mit dem Internet empfohlen, die Liste der Zertifizierungsstellen selbst zu verwalten. In diesem Fall würden Sie die Installation der Aktualisierung von Stammzertifikaten unter Windows XP SP1 unterdrücken oder sie nachträglich entfernen.

Die Kommunikation über das Internet

Dieser Abschnitt behandelt die Kommunikation mit dem Internet, die beim Einsatz der Aktualisierung von Stammzertifikaten auftritt. Der vorige Abschnitt, „Überblick: Der Einsatz von Zertifikatskomponenten “ behandelt Methoden zur Steuerung der Internetkommunikation beim Einsatz anderer Zertifikatskomponenten.

Wen die Aktualisierung von Stammzertifikaten auf einem Computer installiert wird und eine Anwendung ein Zertifikat erhält, deren Stammzertifizierungsstelle nicht direkt als vertrauenswürdig eingestuft wird, so kommuniziert die Aktualisierung von Stammzertifikaten wie im Folgenden beschrieben mit dem Internet:

Die Übermittlung eindeutiger Informationen: Die Aktualisierung von Stammzertifikaten sendet eine Anfrage nach der aktuellen Liste der Stammzertifizierungsstellen aus dem Stammzertifizierungsprogramm von Microsoft an die Windows Update Web-Site. Taucht das Zertifikat in der Liste auf, so lädt die Aktualisierung von Stammzertifikaten dieses Zertifikat



http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/WinXPPro/support/tshtcrl.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/WinXPPro/support/tshtcrl.asp

herunter und hinterlegt es im Zertifikatsspeicher auf dem Computer des Anwenders. Bei diesem Vorgang werden keine Authentifizierungsdaten oder personenbezogenen Informationen ausgetauscht.

Die Windows Update Web-Site finden Sie unter:

windowsupdate.microsoft.com/

Standardeinstellungen und die Möglichkeit der Unterdrückung: Die Aktualisierung von Stammzertifikaten wird standardmäßig mit Windows XP SP1 installiert. Sie können die Installation unterdrücken, oder diese Komponente nachträglich entfernen.

Auslöser und Benachrichtigung des Anwenders: Die Aktualisierung von Stammzertifikaten wird ausgelöst, wenn ein Anwender ein Zertifikat einer nicht direkt als vertrauenswürdig eingestuften Stammzertifizierungsstelle erhält. Der Anwender wird hierüber nicht benachrichtigt.

Protokollierung: Ereignisse mit beispielsweise folgenden Informationen werden aufgezeichnet:

For Event ID 7:Description: Successful auto update retrieval of third-party root list sequence number from: URL_for_Windows_Update_Web_Site

For Event ID 8:Description: Failed auto update retrieval of third-party root list sequence number from: URL_for_Windows_Update_Web_Site with error: hex_error_value

Verschlüsselung, Datenschutzrichtlinie und Speichern der Zertifikate: Anfragen und Zertifikate, die über die Aktualisierung von Stammzertifikaten ausgetauscht werden, werden nicht verschlüsselt. Informationen über die Aktualisierung von Stammzertifikaten werden nicht auf Servern von Microsoft gespeichert. Da keine persönlichen Informationen ausgetauscht werden erübrigt sich der Hinweis auf den Datenschutz.



Um die automatische Kommunikation der Aktualisierung von Stammzertifikaten mit der Windows Update Web-Site zu unterdrücken, können Sie diese Komponente von der Installation ausschließen, oder sie nachträglich entfernen. Dies erreichen Sie mit den herkömmlichen Mitteln einer unbeaufsichtigten Installation, oder einer Installation mit Hilfe der Remoteinstallationsdienste (RIS). In einer Antwortdatei sollte folgender Eintrag stehen:

[Components]Rootautoupdate = Off

Deaktivieren der Aktualisierung von Stammzertifikaten

Wird ein Anwender mit einem Zertifikat einer nicht direkt als vertrauenswürdig eingestuften Stammzertifizierungsstelle konfrontiert und die Aktualisierung von Stammzertifikaten ist nicht installiert, so wird die von ihm initiierte Aktion, die der Authentifizierung bedurfte, fehlschlagen. Beispielsweise könnte ihm die Installation einer Software verwehrt werden, oder das Lesen einer verschlüsselten oder digital signierten E-Mail, oder aber der Aufbauversuch einer SSL-Verbindung mit seinem Browser.

Sollten Sie sich entschließen auf den Einsatz der Aktualisierung von Stammzertifikaten zu verzichten, so sollten Sie Anwendern Informationen zur Verfahrensweise nach dem Erhalt eines als nicht vertrauenswürdig eingestuften Zertifikats zur Verfügung stellen. Beispielsweise könnten Sie die


Anwender anweisen, eine bestimmte Abteilung innerhalb der Organisation zu kontaktieren, die sich mit ihnen um eine Lösung des Kommunikationsproblems bemüht.

Konfiguration

Im Folgenden werden zwei Verfahren beschrieben:

Wie Sie mit Hilfe der Systemsteuerung die Aktualisierung von Stammzertifikaten von einem Computer mit Windows XP SP1 entfernen.

Wie Sie die Installation der Aktualisierung von Stammzertifikaten während einer unbeaufsichtigten Installation von Windows XP SP1 mit Hilfe einer Antwortdatei unterdrücken.

Systemsteuerung1. Klicken Sie auf Start und dann entweder auf Systemsteuerung, oder auf Einstellungen und

danach auf Systemsteuerung.

2. Öffnen Sie Software.

3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen (auf der linken Seite).

4. Entfernen Sie das Häkchen bei Aktualisierung von Stammzertifikaten.

5. Folgen Sie den Anweisungen des Assistenten für Windows-Komponenten.

Unbeaufsichtigte Installation mit Antwortdatei 1. Je nach bevorzugter Einsatzmethode für die unbeaufsichtigte Installation oder eine Installation mit

Hilfe von RIS erstellen Sie eine Antwortdatei. Weiterführende Informationen zu diesen Installationsmethoden entnehmen Sie Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen.“

2. Im Abschnitt [Components] der Antwortdatei fügen Sie folgenden Eintrag hinzu:

Rootautoupdate = Off

Der Geräte-ManagerIn den folgenden Abschnitten finden Sie Informationen zu diesen Themen:

Die Vorteile des Geräte-Managers

Wie der Geräte-Manager mit dem Internet kommuniziert

Wie Sie die Kommunikation des Geräte-Managers mit dem Internet steuern können

Vorteile und Nutzen

Der Geräte-Manager versorgt Anwender und Administratoren mit Informationen bezüglich der Hardwarekonfiguration ihres Computers und wie diese Hardware mit den Anwendungen des Computers interagiert. Mit Hilfe des Geräte-Managers können Administratoren Hardware mit den aktuellsten Treibern versorgen, Hardware-Einstellungen verändern und Konfigurationsprobleme lösen.

Überblick

Administratoren finden den Geräte-Manager unter Verwaltung\Computerverwaltung, Anwender unter Einstellungen\Systemsteuerung\Hardware oder in den Eigenschaften des Arbeitsplatzes. Hier können sie Informationen über die Hardware-Konfiguration des Computers einsehen, aber nur Administratoren können diese verändern.

Administratoren verwenden den Geräte-Manager in der Regel um den Status der Hardware zu überwachen und aktuelle Gerätetreiber einzuspielen. Administratoren mit profunden Hardware-Kenntnissen können mit Hilfe der Diagnosefähigkeiten des Geräte-Managers Gerätekonflikte lösen oder Ressourcen-Einstellungen verändern.

Der Geräte-Manager arbeitet mit Windows Update zusammen, um installierte Hardware mit aktuellen Gerätetreibern zu versorgen. In einer verwalteten Umgebung möchten Sie unter Umständen nicht jedem Administrator dieses Recht zugestehen. Deaktivieren Sie einfach Windows Update mit Hilfe der Gruppenrichtlinien, damit der Geräte-Manager nicht mehr mit dem Internet kommunizieren kann. In den folgenden Abschnitten finden Sie detaillierte Informationen über die Kommunikation des Geräte-Managers mit dem Internet.


Der Geräte-Manager kommuniziert über das Internet, wenn ein Administrator ein Gerät auswählt und im Menü Aktion auf Treiber aktualisieren klickt. Dadurch wird der Hardwareupdate-Assistent gestartet. Der Geräte-Manager kommuniziert also über den Hardwareupdate-Assistenten mit Windows Update. Daher sind viele Informationen dieses Abschnittes identisch mit denen für Windows Update. Zusätzliche Informationen werden wie folgt beschrieben:

Die Übermittlung eindeutiger Informationen: Vergleichen Sie hierzu bitte den Abschnitt “Windows Update und automatisches Update” in diesem Whitepaper.

Standard- und empfohlene Einstellungen: Der Geräte-Manager wird standardmäßig aktiviert. Hinweise auf empfohlene Einstellungen finden Sie im Abschnitt „Wie Sie die Kommunikation des Geräte-Managers mit dem Internet steuern können“.

Auslöser: Mit Hilfe des Geräte-Managers können Sie den Hardwareupdate-Assistenten starten, oder neue Hardware zu Ihrer Computerkonfiguration hinzufügen.

Benachrichtigung des Anwenders: Vergleichen Sie hierzu bitte „Windows Update und automatisches Update.”

Protokollierung: Fehler bei der Installation von Hardware können in der Ereignisanzeige eingesehen werden.

Verschlüsselung, Zugang, Datenschutzrichtlinie, Übertragungsprotokoll und Anschluss: Vergleichen Sie bitte: „Windows Update und automatisches Update.”

Möglichkeit der Deaktivierung: Sie können den Geräte-Manager nicht deaktivieren, allerdings können Sie die Kommunikation über das Internet verhindern, indem Sie Windows Update per Gruppenrichtlinie deaktivieren.


Sie können dem Geräte-Manager den Zugriff auf das Internet untersagen, indem Sie Windows Update deaktivieren, oder die Suchpfade der Computer nach neuen Treibern verändern. Beide Möglichkeiten lassen sich per Gruppenrichtlinie konfigurieren. Anwender sind weiterhin in der Lage, Informationen über ihre Hardware-Konfiguration auszulesen, auch wenn Sie Windows Update deaktivieren. Administratoren können Treiber-Updates manuell aus dem Windows-Update-Katalog herunterladen und je nach Bedarf innerhalb ihres Netzwerkes verteilen.

Weitere Informationen zum Windows-Update-Katalog finden Sie auf der Windows Update Web-Site unter:


Steuerung von Treiber-Updates

Einzelheiten zum Verfahren für die Deaktivierung von Windows Update finden Sie im Abschnitt „Windows Update und automatisches Update” in diesem Whitepaper. Das Verfahren, um Windows Update als Treibersuchpfad zu eliminieren, finden Sie im Folgenden:

Windows Update als Treibersuchpfad deaktivieren1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um

Gruppenrichtlinien zu konfigurieren, je nachdem ob Sie sie auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden wollen. Weitere Informationen zu Gruppenrichtlinien finden Sie in der Windows-Hilfe und in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien.“

2. Öffnen Sie Benutzerkonfiguration\Administrative Vorlagen\System.

3. In der Detailansicht doppelklicken Sie Treibersuchpfade konfigurieren und setzen diese auf aktiviert.

4. Wählen Sie Windows Update nicht durchsuchen.


TreiberschutzIn den folgenden Abschnitten werden diese Themen behandelt:

Die Vorzüge des Treiberschutzes

Wie der Treiberschutz mit dem Internet kommuniziert

Wie Sie die Kommunikation des Treiberschutzes mit dem Internet steuern

Vorteile und Nutzen

Der Treiberschutz von Microsoft Windows XP Professional Service Pack 1 (SP1) hindert das Betriebssystem am Laden von Treibern, die bekanntermaßen Instabilitäten verursachen (z.B. Treiber, die den Bootvorgang verhindern). Diese Treiber sind in einer Treiberschutzliste aufgeführt, die mit Windows XP installiert wird. Der Treiberschutz prüft diese Datenbank während eines Betriebssystemupgrades und während der Laufzeit nach erfolgreicher Installation. Ziel dieser Prüfungen ist, zu entscheiden, ob ein bestimmter Treiber unter Windows XP geladen werden soll.

Der Treiberschutz zeigt aktuelle Informationen zu Treiberproblemen im Windows-Hilfe- und Supportcenter, einschließlich Verknüpfungen mit weiterführenden Informationen zur Problembehebung. Der Treiberschutz ist abhängig von Windows Update und Dynamischen Updates, um die Datenbank bezüglich der Informationen zu geschützten Treibern auf dem neuesten Stand zu halten. Anwender können den Treiberschutz nicht direkt deaktivieren.

Treiber werden zur Treiberschutzliste anhand von Anwender-Feedback über Probleme hinzugefügt, die sich bei Microsoft nachstellen und bestätigen lassen. Ein Treiber kann aus den folgenden Gründen in diese Liste aufgenommen werden:

Windows XP mit diesem Treiber nicht booten.

Windows XP Setup kann mit dem Treiber nicht abgeschlossen werden.

Anwender bemerken eine Form von Datenkorruption, wenn dieser Treiber geladen ist.

Die Entscheidung, einen Treiber auf die Treiberschutzliste zu setzen, wir in Rücksprache mit dem Hersteller getroffen. Microsoft informiert den Hersteller, bevor ein Treiber der Liste hinzugefügt wird.

Eine Aufstellung des Inhalts der Treiberschutzliste für Windows XP ist Bestandteil eines Whitepapers mit weiteren Informationen zum Treiberschutz, welches unter folgendem URL zu finden ist:

www.microsoft.com/hwdev/driver/drv_protect.asp

Dieser Abschnitt erläutert, wie Sie den Treiberschutz in einer verwalteten Umgebung einsetzen.

Überblick

Anwender haben keinen direkten Einfluss darauf, ob der Treiberschutz Daten für die Aktualisierung der Treiberschutzliste herunterlädt. In einer verwalteten Umgebung ist es unwahrscheinlich, dass Anwendern uneingeschränkter Zugriff auf Treiberinformationen gewährt wird. Diese Aufgabe obliegt in der Regel der IT-Abteilung. Allerdings können Sie durch die Deaktivierung von Windows Update oder den Verzicht auf Dynamische Updates den Treiberschutz am Download von Treibern hindern. Einzelheiten zu den Verfahrensweisen zur Steuerung des Treiberschutzes werden in den folgenden Abschnitten erläutert.

http://www.microsoft.com/hwdev/driver/drv_protect.asp


Dieser Abschnitt fasst die Kommunikationsprozesse zusammen:

Die Übermittlung eindeutiger Informationen: Es werden keine Informationen über das System des Anwenders über das Internet verschickt. Der Treiberschutz aktualisiert die folgenden Dateien:

drvmain.sdb, apphelp.chm, apphelp.sdb und apphelp.dll.

Standard- und empfohlene Einstellungen: Der Treiberschutz ist standardmäßig aktiviert. Empfohlene Einstellungen finden Sie im nächsten Abschnitt, „Wie Sie die Kommunikation des Treiberschutzes mit dem Internet steuern“.

Auslöser: Der Treiberschutz wird aktiviert, falls sich ein eingesetzter Gerätetreiber auf der Treiberschutzliste befindet. Dies geschieht während des Starts von Windows XP, der Installation eines Gerätes oder einer Anwendung, oder während der Installation oder eines Upgrades des Betriebssystems.

Benachrichtigung des Anwenders: Die Benachrichtigung, die der Anwender erhält, variiert je nach Zeitpunkt, zu dem der Treiberschutz ausgelöst wird:

Wird ein Treiber als Bestandteil der Treiberschutzliste erkannt während Windows XP startet, so erscheint nach erfolgter Anmeldung in der Benachrichtigungszone der Taskleiste eine Pop-Up Meldung mit dem Titel „Gerät oder Anwendung deaktiviert“. Klickt der Anwender diese Meldung an, so erhält er Verweise auf weiterführende Informationen zu diesem Treiberproblem im Windows-Hilfe- und Supportcenter.

Wird ein Treiber als Bestandteil der Treiberschutzliste erkannt während Windows Setup ausgeführt wird (beispielsweise bei einem Upgrade von Windows NT 4.0 oder Windows 2000 Professional), erscheint eine Meldung während Systemkompatibilitätsprüfung. Anwender haben an dieser Stelle zwei Auswahlmöglichkeiten:

Sie können das Windows Setup abbrechen und nach einer Lösung des Treiberproblems suchen, bevor das Setup erneut durchgeführt wird.

Sie können das Upgrade fortsetzen, ohne zuvor einen Treiber zu installieren, der das Problem löst. In diesem Fall wird das Setup den alten Treiber deaktivieren, um erfolgreich abgeschlossen werden zu können. Nach erfolgter Anmeldung erscheint in der Benachrichtigungszone der Taskleiste die oben beschriebene Pop-Up Meldung.

Wird ein Treiber als Bestandteil der Treiberschutzliste erkannt während eine neue Anwendung oder ein neues Gerät installiert wird und dieser Treiber die Systeminstallationsdienste (SetupAPI) nutzt, so zeigt das Betriebssystem eine Warnmeldung und verhindert die Installation des Treibers.

Nutzt der Treiber nicht die Systeminstallationsdienste kann Windows XP die Installation nicht verhindern. Es kann jedoch verhindern, dass der Treiber geladen wird. Bei jedem Versuch, den Treiber zu laden, erscheint ein Warnhinweis, dass dieser Treiber nicht geladen werden kann. Beispielsweise könnte ein CD-Brennprogramm unter Umgehung der SetupAPI einen Treiber installieren wollen, der auf der Treiberschutzliste aufgeführt ist. Nach erfolgter Installation erschient in der Benachrichtigungszone der Taskleiste die oben beschrieben Pop-Up Meldung.

Protokollierung: Wird ein Treiber als Bestandteil der Treiberschutzliste erkannt wird ein Eintrag in die Ereignisanzeige geschrieben.

Verschlüsselung: Die von Microsoft übertragenen Daten sind digital signiert.

Zugriff: Keine Daten werden vom Anwendersystem übertragen.

Datenschutzrichtlinie: Für den Treiberschutz gelten dieselben Richtlinien wie für Windows Update.

Übertragungsprotokoll und Anschluss: Die Übertragung erfolgt über HTTP-Port80.

Möglichkeit der Deaktivierung: Der Treiberschutz lässt sich nicht deaktivieren. Durch die Deaktivierung von Windows Update oder Dynamischen Updates können Sie jedoch den Treiberschutz an der Aktualisierung der Datenbankdateien für die Treiberschutzliste hindern. (Natürlich können Sie auch die Kommunikation des Anwendersystems über HTTP-Port80 oder den Zugang zum Internet abschalten).


Der Treiberschutz lässt sich nicht deaktivieren. Durch die Deaktivierung von Windows Update oder Dynamischen Updates können Sie jedoch den Treiberschutz an der Aktualisierung der Datenbankdateien für die Treiberschutzliste hindern. Sie können auch die Kommunikation des Anwendersystems über HTTP-Port80 oder den Zugang zum Internet abschalten. Eine weitere Möglichkeit bietet das MMC Snap-In Dienste. Die folgende Tabelle beschreibt die verschiedenen Vorgehensweisen und ihre Auswirkungen.

Konfigurationseinstellungen für den Treiberschutz

Konfigurationswerkzeug Einstellung Ergebnis

Windows Update Windows Update verhindern. Vergleichen Sie hierzu den Abschnitt "Windows Update und automatisches Update" in diesem Whitepaper.

Verhindert den Treiberschutz.

Dynamisches Update Vermeiden Sie den Einsatz von Dynamischen Updates. Vergleichen Sie hierzu bitte den Abschnitt „Dynamische Updates“ in diesem Whitepaper.

Verhindert den Treiberschutz.

Firewall Verhindern Sie Kommunikation über HTTP-Port80. Verhindert den Treiberschutz.

Snap-In Dienste Deaktivieren Sie den Upload-Manager-Dienst (uploadmgr).

Verhindert den Treiberschutz. Alle von uploadmgr abhängigen Dienste werden ebenfalls nicht gestartet.

Auswirkungen

Der Treiberschutz verhindert das Laden von problembehafteten Treibern aus der Treiberschutzliste, jedoch vermag er nicht die Ausführung einer Anwendung zu verhindern, die von diesem Treiber abhängig ist. Demzufolge hängt das Verhalten einer solchen Anwendung stark von ihrer Implementierung ab. Bestimmte Anwendungen, wie z.B. Virenscanner, installieren Treiber als Kernbestandteil ihrer Funktionalität. Software dieser Art könnte vom Treiberschutz vollständig an der Ausführung gehindert werden. Andere Software, z.B. CD-Brennprogramme, nutzen Treiber als Grundlage für einige ihrer Features. In diesem Fall funktionieren unter Umständen noch die Programmteile, die nicht vom Treiber abhängen.

Sollten Sie den Treiberschutz am Update der Treiberschutzliste hindern, so werden die Stabilität kompromittierende Treiber weiterhin geblockt. Allerdings geschieht das anhand der Treiberschutzliste, die mit dem Betriebssystem installiert wurde.

Alternative Steuerungsmöglichkeiten

Eine weitaus drastischere Möglichkeit der Einflussnahme stellt die Deaktivierung des Upload-Manager-Dienstes dar. Der Upload-Manager verwaltet synchrone und asynchrone Datenübertragungen im Netzwerk. Die Deaktivierung dieses Dienstes hat zur Folge, dass die Treiberschutzliste nicht mit aktuellen Einträgen versorgt wird, sondern auf dem Stand des Zeitpunktes der Betriebssysteminstallation verweilt. Dieses Verfahren wird im folgenden Abschnitt erläutert.

Deaktivierung

Sie können den Treiberschutz nicht direkt abschalten, sondern ihm lediglich den Internetzugang verwehren indem Sie Windows Update abschalten oder auf den Einsatz dynamischer Updates verzichten. Vergleichen Sie hierzu die Abschnitte „Windows Update und automatisches Update“ und „Dynamisches Update“ für weiterführende Informationen.

Wie im vorangegangenen Abschnitt dargelegt, stellt die Deaktivierung des Upload-Managers eine drastische Maßnahme für die Deaktivierung des Treiberschutzes dar.

Deaktivierung des Upload-Manager1. Öffnen Sie Start\Verwaltung\Dienste.

2. Im Detailfenster rufen Sie die Eigenschaften des Upload-Managers auf.

3. Im Register Anmelden wählen Sie das Hardwareprofil, welches Sie konfigurieren wollen, und klicken auf Deaktivieren.

Wichtig Wird dieser Dienst aktiviert, so schlägt der Start sämtlicher abhängiger Dienste fehl.


Weiterführende Informationen bezüglich des Treiberschutzes von Windows XP finden Sie unter:

www.microsoft.com/hwdev/driver/drv_protect.asp

http://www.microsoft.com/hwdev/driver/drv_protect.asp

Dynamisches UpdateIn den folgenden Abschnitten werden diese Themen behandelt:

Die Vorzüge des dynamischen Updates

Wie das dynamische Update mit dem Internet kommuniziert

Wie Sie die Kommunikation des dynamischen Updates mit dem Internet steuern

Vorteile und Nutzen

Mit Hilfe des dynamischen Updates kann Windows XP Setup während der Installation die Windows Update Web-Site nach aktuellen Setupdateien prüfen. In einer interaktiven Installation (im Gegensatz zu einer unbeaufsichtigten Installation) kann der Anwender selbst entscheiden, ob ein dynamisches Update durchgeführt werden soll.

In einer verwalteten Umgebung können Sie bei einer unbeaufsichtigten Installation können Sie die Dateien für das dynamische Update über eine zuvor erstellte Freigabe auf einem Server steuern. Weitere Informationen zur Durchführung finden Sie in den Abschnitten „Wie das dynamische Update mit dem Internet kommuniziert“ und „Wie Sie die Kommunikation des dynamischen Updates mit dem Internet steuern“.

Sobald an einer kritischen Setupdatei eine wichtige Änderung vorgenommen wird, wird diese durch die dynamische Update-Funktion der Windows Update Web-Site zur Verfügung gestellt. Entweder werden Setupdateien ersetzt oder zusätzlich zur Verfügung gestellt (z.B. Treiber, die bei der Erstellung der Setup-CD nicht verfügbar waren). Alle Dateien im Bereich Dynamisches Update auf der Windows Update Web-Site werden intensiv getestet und nur die Dateien, die für einen ordnungsgemäßen Ablauf von Windows Setup erforderlich sind, werden hier bereitgestellt.

Das dynamische Update verringert die Notwendigkeit, für kürzlich installierte Systeme ein Patch bereitzustellen und erleichtert die Durchführung von Windows Setup auf einer Hardware, die einen aktuellen Treiber benötigt. Sollte, beispielsweise, eine neue Grafikkarte einen Treiber benötigen, der erst kürzlich auf der Windows Update Web-Site bereitgestellt wurde, so wird dieser mit Hilfe des dynamischen Updates erkannt und eingebunden.

Das dynamische Update lädt lediglich die Dateien herunter, die für die aktuelle Computerkonfiguration notwendig sind. Zu diesem Zweck prüft das dynamische Update die Hardwarekonfiguration, wobei keine persönlichen Informationen gesammelt werden. Auch werden keine Daten gespeichert. Der einzige Zweck der Hardwareprüfung besteht in der Auswahl der passenden Gerätetreiber. Dies verringert die Übertragung aktueller Informationen auf ein Minimum und stellt sicher, dass lediglich benötigte Treiber auf der Festplatte hinterlegt werden.

Überblick

Falls Sie dem dynamischen Update den Zugriff auf die Windows Update Web-Site während des Setup nicht gestatten wollen, haben Sie folgende Optionen:

Erstellen einer Freigabe auf einem Server und die Verteilung der Dateien für das dynamische Update auf die Endsysteme: Sie können auf einem Server in Ihrer Organisation eine Freigabe erstellen, die Daten für das dynamische Update herunterladen und während einer unbeaufsichtigten Installation mit Winnt32.exe diese an die Endsysteme verteilen.

Dynamisches Update verhindern: Sie können das dynamische Update verhindern, so dass Windows Setup nur auf Dateien und Treiber auf der CD zurückgreifen kann. Weitere Informationen finden Sie unter „Dynamisches Update verhindern“ in diesem Abschnitt.

In den folgenden Abschnitten finden Sie weitere Informationen zu diesen Themen.

Weitere Informationsquellen für das Durchführen einer unbeaufsichtigten Installation finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“.


Dieser Abschnitt beschäftigt sich mit der Informationsübertragung zwischen dem dynamischen Update und der Windows Update Web-Site während einer interaktiven Installation (oder einer vorangehenden Kompatibilitätsprüfung), falls der Computer über einen Internetzugang verfügt. Weiterhin wird das Standardverhalten während einer unbeaufsichtigten Installation erörtert.

Weitere Einzelheiten für die Einflussnahme während einer unbeaufsichtigten Installation finden Sie im Abschnitt „Wie Sie den Informationsaustausch zwischen dem dynamischen Update und dem Internet begrenzen“.

Die Übermittlung eindeutiger Informationen: Das dynamische Update sendet lediglich die Informationen an die Windows Update Web-Site, die für die Auswahl der benötigten Treiber relevant sind. Es werden keine persönlichen Informationen übertragen.

Nur Dateien, die für ein fehlerfreies Setup benötigt werden, werden heruntergeladen. Setupdateien werden ersetzt oder zusätzlich zur Verfügung gestellt (z.B. Treiber, die bei der Erstellung der Setup-CD nicht verfügbar waren)

Standardverhalten und Auslöser:

Das dynamische Update stellt eine Verbindung zum Internet her, wenn das Setup auf eine bestimmte Weise ausgeführt wird. Einzelheiten entnehmen Sie der folgenden Tabelle:

Auswahlmöglichkeiten für Windows Setup und das daraus resultierende Verhalten des dynamischen Update

Vorgang Einzelheiten und Ergebnisse

Stellt das dynamische Update eine Internetverbindung her?

Durchführen einer Hardwarekompatibilitätsprüfung

Legen Sie die CD ein und führen Sie die Hardwarekompatibilitätsprüfung durch. Sie haben dann die Wahl, ob Sie das dynamische Update überspringen wollen.

Ja, wenn Sie sich zur Verwendung des dynamischen Updates entschließen.

Interaktive Installation Starten Sie Setup von der CD oder über das Netzwerk. Sie haben dann die Wahl, ob Sie das dynamische Update überspringen wollen.

Ja, wenn Sie sich zur Verwendung des dynamischen Updates entschließen.

Unbeaufsichtigte Installation ohne Antwortdatei und ohne weitere Optionen für das dynamische Update

Führen Sie Winnt32.exe mit dem /unattend Parameter aus, aber machen Sie keine Angaben zu einer Antwortdatei. Das dynamische Update wird in diesem Fall gestartet.

Ja.

Unbeaufsichtigte Installation mit dem /DUdisable Parameter

Führen Sie Winnt32.exe mit den Parametern /unattend und /DUdisable aus. Das dynamische Update wird nicht durchgeführt, unabhängig davon, ob eine Antwortdatei benutzt wird.

Nein.

Unbeaufsichtigte Installation mit einer Antwortdatei, der das dynamische Update nicht deaktiviert

Erstellen Sie in einer Antwortdatei im Abschnitt [Unattended] den Eintrag DUDisable = No. Führen Sie Winnt32.exe mit dem Parameter /unattend:answer_file aus. Das dynamische Update wird ausgelöst (vgl. hierzu den vorigen Eintrag).

Ja.

Unbeaufsichtigte Installation mit einer Antwortdatei, die

Führen Sie Winnt32.exe mit dem Parameter /unattend:answer_file aus. Standardgemäß wird das

Nein.

keine Angaben zum dynamischen Update enthält

dynamische Update nicht durchgeführt, sollten in der Antwortdatei keine Angaben hierzu gemacht worden sein.

Unbeaufsichtigte Installation ohne Antwortdatei mit dem /DUShare Parameter

Stellen Sie eine Freigabe bereit (wie in „Erstellen einer Freigabe auf einem Server und die Verteilung der Dateien für das dynamische Update auf die Endsysteme“ beschrieben). Führen Sie Winnt32.exe mit dem Parameter /DUShare = path_to_downloaded_files aus. Das dynamische Update greift auf diese Freigabe zu.

Nein, das dynamische Update greift auf die die Freigabe zurück.

Unbeaufsichtigte Installation mit einer Antwortdatei, die den DUShare Eintrag enthält

Stellen Sie eine Freigabe bereit (wie in „Erstellen einer Freigabe auf einem Server und die Verteilung der Dateien für das dynamische Update auf die Endsysteme“ beschrieben). Erstellen Sie in einer Antwortdatei im Abschnitt [Unattended] den Eintrag DUShare = path_to_downloaded_files. Führen Sie Winnt32.exe mit dem Parameter /unattend:answer_file aus. Das dynamische Update greift auf die spezifizierte Freigabe zu.

Nein, das dynamische Update greift auf die die Freigabe zurück.

Benachrichtigung des Anwenders: Während einer interaktiven Installation wird der Anwender gefragt, ob das dynamische Update gestartet werden soll. Während einer unbeaufsichtigten Installation erfolgt keine Benachrichtigung (die unbeaufsichtigte Installation verzichtet per definitionem auf eine Benutzerinteraktion).

Protokollierung: Standardgemäß wird der Fortschritt der Installation in systemroot\Winnt32.log aufgezeichnet. Mit Hilfe der Parameter für Winnt32.exe können Sie den Namen der Log-Datei und den Umfang der darin aufgezeichneten Informationen bestimmen.

Verschlüsselung: Die Datenübertragung von Microsoft erfolgt über HTTP.

Zugriff: Es werden keine Daten bezüglich der Hardware eines bestimmten Computers gespeichert, so dass auf diese Informationen auch nicht zugegriffen werden kann. Die gesammelten Inforationen dienen lediglich der Ermittlung der passenden Treiber.

Datenschutzrichtlinie: Das dynamische Update unterliegt denselben Richtlinien wie Windows Update. Diese Richtlinien können Sie auf der Windows Update Web-Site einsehen. Klicken Sie Über Windows Update und suchen Sie nach dem Eintrag „Windows Update Datenschutzrichtlinie“. Die Windows Update Web-Site finden Sie unter:


Übertragungsprotokoll und -port: Das Übertragungsprotokoll ist HTTP über Anschluss 80.

Möglichkeit der Deaktivierung: Sie können das Verhalten des dynamischen Update steuern, wie in der oben aufgeführten Tabelle erläutert. (Sie können auch die Kommunikation des Anwendersystems über HTTP-Port80 oder den Zugang zum Internet abschalten.)

Wollen Sie das dynamische Update nicht deaktivieren, können Sie die Dateien für das dynamische Update über eine Freigabe bereitstellen.


Wie in „Überblick“ zusammengefasst haben Sie verschieden Möglichkeiten, die Kommunikation des dynamischen Updates mit der Windows Update Web-Site unterbinden. Mit Hilfe der unbeaufsichtigten Installation können Sie die benötigten Dateien über eine Serverfreigabe bereitstellen. Weiterhin können Sie die Verwendung des dynamischen Updates vollständig verhindern.

Dynamisches Update über eine Netzwerkfreigabe

Dieser Abschnitt beschreibt in Kürze die notwendigen Schritte, wie Sie eine Freigabe auf einem Server erstellen und die für das dynamische Update benötigten Dateien über diese Freigabe verteilen.


Weiterhin finden Sie Verweise auf detaillierte Informationsquellen. Die einzelnen Schritte können wie folgt zusammengefasst werden:

1. Schritt: Ermitteln Sie, welche Pakete Sie von der Windows Update Web-Site herunterladen müssen.

2. Schritt: Laden Sie die Pakete herunter und bereiten Sie diese für die Nutzung des dynamischen Updates vor. Hierzu gehört das Entpacken der Dateien in die entsprechenden Ordner, sowie das Ausführen von Winnt32.exe mit dem /duprepare Parameter, der notwendige Unterordner erstellt und die benötigten Dateien in diesen platziert. Weiterhin müssen Sie den Ordner freigeben und die entsprechenden Berechtigungen setzen.

3. Schritt: Erstellen Sie die Antwortdatei mit den notwendigen Angaben für das dynamische Update (und allen weiteren Angaben).

4. Schritt: Starten Sie die unbeaufsichtigte Installation.

Weiterführende Informationen finden Sie im Windows XP Professional Resource Kit, Kapitel 2, insbesondere die Angaben zum dynamischen Update in der Übersicht dieses Kapitels. Sie können dieses Kapitel auf der TechNet Web-Site einsehen:

www.microsoft.com/technet/prodtechnol/winxppro/reskit/prbc_cai_nmip.asp

Ähnliche Angaben finden Sie in folgendem Artikel:

www.download.windowsupdate.com/msdownload/update/v3/static/DUProcedure/Dynamic Update.htm

Vergleichen Sie bitte auch Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“.

Dynamisches Update vermeiden

Sie können den Einsatz des dynamischen Updates vermeiden, so dass Windows Setup nur auf die auf der Setup-CD enthaltenen Dateien zurückgreift. Folgende Maßnahmen können je nach Art der Installation ergriffen werden:

Interaktive Installation: Wählen Sie Nein, wenn die Option zum dynamischen Update angeboten wird oder sorgen Sie dafür, dass der Computer über keinen Zugang zum Internet verfügt.

Unbeaufsichtigte Installation: Alle Einstellung zum Verhindern eines dynamischen Updates finden Sie in der Tabelle im Abschnitt „Wie das dynamische Update mit dem Internet kommuniziert“ weiter oben n diesem Abschnitt.

Auswirkungen

Unabhängig davon, ob Sie das dynamische Update verwenden, können Sie aktuelle System- und Treiberdateien nach der Installation einbinden (z.B. durch Windows Update oder ein Service Pack). Das dynamische Update hilft jedoch bei der erfolgreichen Fertigstellung des Setups.

Sie können über die Verteilung der entsprechenden Dateien über eine Freigabe zudem besser steuern, welche Dateien auf die Endsysteme verteilt werden. Sollten Anwender diese Dateien direkt über die Windows Update Web-Site beziehen, könnten sich Inkonsistenzen in der Konfiguration der Computer ergeben, da die Windows Web-Site regelmäßig aktualisiert wird, worauf Sie als Administrator leider keinen Einfluss nehmen können.



Steuerung des dynamischen Updates

Für eine detailliert Beschreibung des dynamischen Updates konsultieren Sie bitte das Windows XP Professional Resource Kit, Kapitel 2, insbesondere die Angaben zum dynamischen Update in der Übersicht dieses Kapitels. Sie können dieses Kapitel auf der TechNet Web-Site einsehen:


Ähnliche Angaben finden Sie in folgendem Artikel:

www.download.windowsupdate.com/msdownload/update/v3/static/DUProcedure/Dynamic Update.htm



Die EreignisanzeigeIn den folgenden Abschnitten werden diese Themen behandelt:

Die Vorzüge der Ereignisanzeige

Wie die Ereignisanzeige mit dem Internet kommuniziert

Wie Sie die Kommunikation der Ereignisanzeige mit dem Internet steuern

Vorteile und Nutzen

Administratoren können mit Hilfe der Ereignisanzeige Protokollierung einsehen und verwalten. Diese Protokollierung beinhalten Angaben zu Problemen mit Hard- und Software, sowie sicherheitsrelevante Ereignisse. Auf einem Computer mit Microsoft Windows XP Professional Service Pack 1 (SP1) werden drei verschiedene Logs geführt: Anwendung, Sicherheit und System. Die Ereignisanzeige ist zwar hauptsächlich für die Verwendung durch den Administrator bestimmt, jedoch können Anwender die Anwendungs- und System-Protokollierung einsehen. Die Sicherheits-Log-Datei ist ausschließlich für den Zugriff durch den Administrator bestimmt.

Überblick

Anwender können die Protokollierung ihres Computers unter Systemsteuerung\Verwaltung\Ereignisanzeige einsehen. Der Anwender kann sich detaillierte Angaben zu bestimmten Ereignissen erhalten, indem er einen Doppelklick auf das Ereignis ausführt oder das Ereignis auswählt und dann auf Eigenschaften im Menü Aktion klickt. Das Dialogfeld beschreibt das Ereignis und liefert unter Umständen weitere Verweise auf die Hilfe.

Diese Verweise führen zu Microsoft Servern oder zu Servern des Herstellers der Software, die das Ereignis ausgelöst hat. Unter Windows XP SP1 werden die meisten Ereignisse, die von einem Microsoft Produkt ausgelöst werden, mit einem Standardtext versehen, der einen URL am Ende der Beschreibung beinhaltet (“Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp”).

Folgt ein Anwender diesem Link, wird er gefragt, ob er diese Informationen über das Internet versenden will. Ist die Antwort „Ja“, so werden die aufgeführten Inforationen an die Web-Site, die in dem Link benannt wird, verschickt. Die Parameter des ursprünglichen URL werden durch eine Reihe von Standardparametern ersetzt, deren Inhalt im Dialogfenster angezeigt wird. Diese Parameter sind im Abschnitt „Die Übermittlung eindeutiger Informationen“ aufgelistet.

In einer verwalteten Umgebung könnten IT-Administratoren das Senden dieser Informationen unterbinden wollen. Unter Windows XP SP1 wird dieser Informationsfluss über einen Registrierungsschlüssel festgelegt. Administratoren können diesen Registrierungsschlüssel verändern, um den Informationsfluss zu unterbinden.


Damit relevante Hilfe über den Link in den Eigenschaften eines Ereignisses zur Verfügung gestellt werden kann, muss der Anwender die darin enthaltenen Informationen verschicken. Die gesammelten Daten werden auf die elementarsten Informationen, die für eine erfolgreich Suche in der Microsoft Knowledge Base nötig sind, reduziert. Benutzernamen und E-Mail Adressen, Dateinamen, die mit dem Ereignis nicht in Zusammenhang stehen, Computeradressen und jede weitere Form von persönlichen Daten, werden nicht gesammelt.

Der Informationsaustausch über das Internet verläuft wie folgt:

Die Übermittlung eindeutiger Informationen: Die Angaben zum Ereignis, die über das Internet versendet werden, beinhalten:

Firmenname (Hersteller)

Datum und Uhrzeit

Ereignis ID (z.B. 1704)

Dateiname und Version (z.B., userenv.dll, 5.1.2600.1106)

Produktbezeichnung und Version (z.B., Microsoft Windows Operating System, 5.1.2600.1106)

Registrierungsquelle (z.B., userenv)

Art des Ereignisses (z.B., Fehler)

Die Informationen, die der Anwender erhält, stammen von der im Link benannten Web-Site.

Standardeinstellungen: Der Zugriff auf die Ereignisanzeige ist standardgemäß aktiviert.

Auslöser: Der Anwender entscheidet sich für das Senden von Informationen über das Internet, um Hilfe zu erhalten.

Benachrichtigung des Anwenders: Beim Klicken auf den Link erscheint ein Dialogfenster, in dem die zu übermittelnden Angaben aufgelistet sind.

Protokollierung: Diese sind ein Leistungsmerkmal der Ereignisanzeige.

Verschlüsselung: Die Übertragung kann verschlüsselt oder unverschlüsselt erfolgen, abhängig davon, ob es sich um einen HTTP- oder einen HTTPS-Link handelt.

Zugriff: Es werden keine Informationen gespeichert.

Datenschutzrichtlinie: In der Hilfe der Ereignisanzeige finden Sie die Datenschutzrichtlinie zum URL der Ereignisanzeige. (In der Ereignisanzeige klicken Sie bitte auf Hilfe und geben Sie im Register Suchen „URL-Datenschutzrichtlinie“ ein.)

Übertragungsprotokoll und Anschluss: Die Übertragung findet über die Standardports der Protokolle HTTP und HTTPS statt, wie im URL angegeben.

Möglichkeit der Deaktivierung: Das Senden von Informationen über das Internet kann über einen Registrierungsschlüssel abgestellt werden.


Sie können Anwender daran hindern, Informationen aus der Ereignisanzeige über das Internet zu verschicken, indem Sie Einträge in der Registrierung vornehmen. Sollten Sie diese Einträge vornehmen, so wird der oben beschrieben Klick auf „Ja“ die Hilfe starten und nicht den Zugang zum Internet suchen.

Die Werte in der Windows XP SP1 Computerregistrierung, die in diesem Abschnitt aufgelistet sind, finden Sie unter folgendem Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Event Viewer

In der folgenden Liste finden Sie Angaben, wie dieser Registrierungsschlüssel die Internetkommunikation steuert.

MicrosoftRedirectionProgram

Standardwert: %SystemRoot%\PCHealth\HelpCtr\Binaries\HelpCtr.exe

Nutzung: Dieses Programm wird mit Parametern aus MicrosoftRedirectionProgramCommandLineParameters ausgeführt.

MicrosoftRedirectionProgramCommandLineParameters

Standardwert: -url hcp://services/centers/support?topic=%s

Nutzung: "%s" wird durch den URL des Links ersetzt.

MicrosoftRedirectionURL

Standardwert: http://go.microsoft.com/fwlink/events.asp

Nutzung: Verwaltet den URL für den Standardlink für Microsoft Ereignisse

Anmerkung Sollte einer dieser Werte leer sein oder fehlen, wird der Link über ShellExecute direkt ausgeführt; das Löschen dieser Werte stellt keine Maßnahme zur Eindämmung der Internetkommunikation dar.

Konfiguration

Um den Informationsaustausch der Ereignisanzeige mit dem Internet zu unterbinden müssen Sie Änderungen an der Registrierung vornehmen. Diese Änderungen können Sie dann mit Hilfe von Gruppenrichtlinien an Computer in der Domäne verteilen.

Registrierung bearbeiten

Bearbeiten Sie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Event Viewer wie folgt:

Um den Zugriff auf das Internet nach dem Klicken eines Links in der Ereignisanzeige zu unterbinden müssen Sie das letzte „%s“ des Wertes MicrosoftRedirectionProgramCommandLineParameters löschen (vgl. die oben aufgeführte Liste). Nach dieser Änderung ruft das Klicken des Links und die anschließende Bestätigung mit „Ja“ die Hilfe auf und wird nicht versuchen, über das Internet auf weitere, das Ereignis betreffende Informationen zuzugreifen.

Angaben für die Bearbeitung der Registrierung entnehmen Sie der Windows 2000 Server Hilfe oder dem Windows 2000 Server Resource Kit: Ergänzung 1 auf der folgenden Web-Site:

www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp

Vorsicht Die unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Schäden an Ihrem System verursachen. Bevor Sie Änderungen an der Registrierung vornehmen sollten Sie alle wichtigen Daten sichern. Weiterhin können Sie die Startoption „Letzte als funktionierend bekannte Konfiguration“ nutzen, sollten Sie nach der Änderung irgendein Fehlverhalten des Systems diagnostizieren.

Verteilen der Änderungen via Gruppenrichtlinie

Sie können die Änderungen an der Registrierung auf Computer in der Domäne verteilen, indem Sie eine Gruppenrichtlinie konfigurieren. Zunächst müssen Sie eine Vorlage mit Hilfe des MMC Snap-Ins Ereignisanzeige erstellen.

Aktivierung des Snap-Ins für die Ereignisanzeige1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um

Gruppenrichtlinien zu konfigurieren, je nachdem ob Sie sie auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden wollen. Weitere Informationen zu Gruppenrichtlinien finden Sie in der Windows-Hilfe und in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien.“

2. Öffnen Sie Benutzerkonfiguration\ Administrative Vorlagen\ Windows-Komponenten.

3. Öffnen Sie Microsoft Management Console\ Eingeschränkte/Zugelassene Snap-Ins.

http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp

4. Im Detailfenster führen Sie einen Doppelklick auf Ereignisanzeige aus und wählen aktiviert.

Dateizuordnungs-WebdienstIn den folgenden Abschnitten werden diese Themen behandelt:

Die Vorzüge des Dateizuordnungs-Webdienstes

Wie der Dateizuordnungs-Webdienst mit dem Internet kommuniziert

Wie Sie die Kommunikation des Dateizuordnungs-Webdienstes mit dem Internet steuern

Vorteile und Nutzen

Der Dateizuordnungs-Webdienst von Microsoft Windows XP Professional Service Pack 1 (SP1) erweitert den Umfang der lokal vom Betriebssystem registrierten Dateizuordnungen, -typen und die Anwendungen bzw. Komponenten, die beim Öffnen eines bestimmten Dateityps gestartet werden. Sowohl die lokal gespeicherten Informationen, als auch der Dateizuordnungs-Webdienst, sollen es dem Anwender ermöglichen, eine Datei mit einem Doppelklick zu öffnen, ohne dass er angeben muss, mit welcher Anwendung oder Komponente sie geöffnet werden soll. Das Betriebssystem verknüpft die Dateinamenerweiterung (z.B., .txt oder .jpg) mit der Anwendung oder Komponente, die für diesen Dateityp registriert ist. Beispielsweise repräsentieren die Dateinamenerweiterungen .htm und .html beide den Dateityp „HTML-Dokument“.

Zunächst prüft das Betriebsystem, ob Dateizuordnungen lokal registriert sind. Ist dies nicht der Fall, bietet das Betriebsystem dem Anwender die Möglichkeit, auf einer Microsoft Web Site nach weiteren Informationen zu suchen. Einzelheiten zum URL dieser Web-Site finden Sie im Abschnitt „Wie der Dateizuordnungs-Webdienst mit dem Internet kommuniziert“.

Überblick

Um den Informationsaustausch des Dateizuordnungs-Webdienstes mit dem Internet zu beschränken, stehen Ihnen diverse Möglichkeiten zur Verfügung. Dies können Sie über Firewall-Einstellungen erreichen, über Serverbasierte Softwareverteilung via Gruppenrichtlinie, oder Sie können den Dateizuordnungs-Webdienst durch einen Registrierungsschlüssel ganz deaktivieren. Zudem können Sie Ihre Anwender schulen, so dass sie verstehen, wie eine Zuordnung zwischen einem Dateitypen und einer Anwendung oder Komponente funktioniert. Auch können Sie mit Hilfe von Skripten die Dateitypen, die Anwender einsehen, speichern oder benutzen können, um die Wahrscheinlichkeit zu reduzieren, dass Anwender weitere Informationen zu diesen Dateitypen benötigen.


Der Dateizuordnungs-Webdienst kommuniziert folgendermaßen mit dem Internet:

Die Übermittlung eindeutiger Informationen: Wenn das Betriebssystem keine lokal abgelegten Inforationen über eine Dateinamenerweiterung findet, bietet es dem Anwender die Möglichkeit, eine Anfrage an eine Microsoft Web Site zu senden. Diese Seite ist sprachabhängig. Die Dateinamenerweiterung der betreffenden Datei wird an die Anfrage gehängt. Die Anfrage sieht aus wie folgt:

http://shell.windows.com/fileassoc/nnnn/xml/redir.asp?Ext=AAA

wobei nnnn ein hexadezimaler Wert ist, den Windows XP für die Sprachzuordnung verwendet (wie in RFC 1766 beschrieben) und AAA für die Dateinamenerweiterung steht. Ein Beispiel für einen hexadezimalen Wert und die entsprechende Sprache ist 0409 für en-us, English (Vereinigte Staaten).

AnmerkungenZu weiteren Informationen bezüglich dieser Hexadezimalwerte, vergleichen Sie die Angaben

zu den Multi-Language (MLang) Registrierungseinstellungen auf der Microsoft Developers Network Web-Site:msdn.microsoft.com/library/default.asp?url=/library/en-us/wceielng/htm/cooriMLangRegistrySettings.asp

Um nach Informationen zu den MLang Registrierungseinstellungen oder der Internet Explorer Multi-Language Programmierschnittstelle (MLang API) zu suchen, nutzen Sie die Suchfunktion auf der Microsoft Developers Network Web-Site:msdn.microsoft.com/

Standardeinstellung und Möglichkeit der Deaktivierung: Der Webdienst ist standardmäßig aktiviert. Er kann wie unter „Deaktivierung des Dateizuordnungs-Webdienstes“ beschrieben deaktiviert werden.

Sie können den Aufruf des Dateizuordnungs-Webdienstes durch Dateinamenerweiterungen, denen Ihre Anwender gelegentlich begegnen werden, auch unterdrücken, indem Sie automatisierte Serverbasierte Installationen via Gruppenrichtlinie konfigurieren. Hierzu konsultieren Sie bitte den Abschnitt „Informationen zur Softwareverteilung mit Hilfe des Snap-Ins für Gruppenrichtlinien“.

Auslöser und Benachrichtigung des Anwenders: Sobald ein Anwender versucht eine Datei zu öffnen (z.B. durch einen Doppelklick) und keine lokalen Informationen über die entsprechende Anwendung oder Komponente, die zu diesem Dateitypen gehört, zu finden sind, bietet das Betriebssystem folgende Alternativen: „Webdienst für die Suche nach einem geeigneten Programm verwenden“ oder „Programm aus einer Liste auswählen“.

Protokollierung: Der Dateizuordnungs-Webdienst schreibt keine Ereignisse in die Protokollierung.

Verschlüsselung, Speichern und Datenschutz: Die Dateinamenerweiterung in der Anfrage wird nicht verschlüsselt. In der Anfrage gibt es keinerlei Hinweise auf den Anwender. Ist Ihr Internet-Browser für das Speichern temporärer Internetdateien konfiguriert ist, wird er auch die Anfrage mit der Dateinamenerweiterung speichern. Ansonsten wird die Anfrage nirgendwo gespeichert.



Sie können den Kommunikationsfluss des Dateizuordnungs-Webdienstes mit dem Internet begrenzen, indem Sie eines oder mehrere der folgenden Verfahren einsetzen:

Stellen Sie Ihre Firewall so ein, dass Benutzern der Zugriff auf Web-Sites verwehrt wird, die folgende Zeichenkette enthalten: http://shell.windows.com/fileassoc/

Deaktivieren Sie den Dateizuordnungs-Webdienst mit einem Registrierungsschlüssel, wie unter „Deaktivierung des Dateizuordnungs-Webdienstes“ beschrieben.

Konfigurieren Sie automatisierte, Serverbasierte Softwareverteilung. Hierfür müssen Sie Ihre Server mit Hilfe des Gruppenrichtlinien Snap-Ins von Windows 2000 Service Pack 3 (SP3) konfigurieren. Sobald ein Anwender nun eine Datei aufruft, die nicht lokal installiert ist, wird sie automatisch über nachinstalliert (von einer Kopie auf dem Server). In diesem Fall wird der Dateizuordnungs-Webdienst nicht aufgerufen. Weiterführende Informationen zur Softwareinstallations-Erweiterung finden Sie unter „Informationen zur Softwareverteilung mit Hilfe des Snap-Ins für Gruppenrichtlinien“.

Schulen Sie Ihre Anwender im Umgang mit Dateinamenerweiterungen wie folgt:

Erklären Sie den Anwendern, dass es zwischen Dateinamenerweiterungen, Dateitypen und den damit verknüpften Anwendungen oder Komponenten einen Zusammenhang gibt, der vom lokal installierten Betriebssystem verwaltet wird.


http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wceielng/htm/cooriMLangRegistrySettings.asp

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wceielng/htm/cooriMLangRegistrySettings.asp

Machen Sie Angaben zu den Dateinamenerweiterungen der Dateien, mit denen die Anwender meistens arbeiten, und zu den Anwendungen, die mit diesen Dateitypen verknüpft sind. Beispielsweise repräsentieren die Dateinamenerweiterungen .htm und .html beide den Dateityp „HTML-Dokument“.

Erklären Sie den Benutzern den Umgang mit der Systemsteuerung, den Ordneroptionen und dem Register Dateitypen in den Ordneroptionen und wie sie hierüber Dateinamenerweiterungen bestimmten Dateitypen und diese Dateitypen bestimmten Anwendungen zuordnen können. Informieren Sie die Anwender, dass diese Verknüpfungen vom Betriebssystem lokal verwaltet werden.

Weisen Sie die Anwender an, immer die Option „Programm aus einer Liste auswählen“ anzuklicken, wenn der Dialog mit den Alternativen „Webdienst für die Suche nach einem geeigneten Programm verwenden“ oder „Programm aus einer Liste auswählen“ erscheint.

Nutzen Sie Skripte, um Ihre Umgebung nach Dateitypen zu durchsuchen, die Anwender nicht verwenden sollen. Ergreifen Sie die erforderlichen Maßnahmen, dass diese Dateien nicht auf den Computern der Anwender abgelegt werden. Befinden sich keine unerwünschten Dateitypen auf den Festplatten der Anwender, reduziert dies die Notwendigkeit, dass Anwender Informationen zu diesen Dateinamenerweiterungen und Dateitypen einholen.

Einsatz einer Firewall

Wenn sie den Zugriff auf http://shell.windows.com/fileassoc/ mit Hilfe einer Firewall sperren, so benötigen Anwender andere Informationsquellen, um mit unbekannten Dateitypen arbeiten zu können. Wenn, beispielsweise, ein Anwender im Zuge seiner täglichen Arbeit eine Datei mit einer unbekannten Dateinamenerweiterung erhält, die nicht mit einem Dateitypen oder einer Anwendung verknüpft ist, benötigt er Hinweise auf den Umgang mit dieser Datei, z.B. ein Dokument im Intranet Ihrer Organisation.

Konfiguration

In diesem Abschnitt werden folgende Themen behandelt:

Das Verfahren zur Deaktivierung des Dateizuordnungs-Webdienstes mit Hilfe eines Registrierungsschlüssels.

Informationen zur Konfiguration Serverbasierter Softwareverteilung mit Erweiterung des Snap-Ins für Gruppenrichtlinien unter Windows 2000 SP3.

Verfahren zur Unterweisung der Anwender im Umgang mit Dateinamenerweiterungen, Dateitypen und den damit verknüpften Anwendungen oder Komponenten, die das Betriebssystem lokal verwaltet.

Deaktivierung

Es folgt das Verfahren zur Deaktivierung des Dateizuordnungs-Webdienstes mit Hilfe eines Registrierungsschlüssels.

1. Öffnen Sie den Registrierungseditor in dem Sie unter Start\Ausführen „regedit“ eingeben.

Vorsicht Die unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Schäden an Ihrem System verursachen. Bevor Sie Änderungen an der Registrierung vornehmen sollten Sie alle wichtigen Daten sichern. Weiterhin können Sie die „Letzte als funktionierend bekannte Konfiguration“ Startoption nutzen, sollten Sie nach der Änderung irgendein Fehlverhalten des Systems diagnostizieren.

2. Suchen Sie den folgenden Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

http://shell.windows.com/fileassoc/

3. Klicken Sie Neu im Menü Bearbeiten und wählen Sie DWORD-Wert .

4. Geben Sie folgenden Namen ein: NoInternetOpenWith

5. Wählen Sie den neuen Eintrag aus (NoInternetOpenWith) und wählen Sie Ändern aus dem Menü Bearbeiten.

6. Vergewissern Sie sich, dass Hexadezimal ausgewählt ist und tragen Sie als Wert „1“ ein

7. Schließen Sie den Registrierungseditor.

Softwareverteilung mit Hilfe von Gruppenrichtlinien

Sollten Sie mit dem Einsatz der Softwareverteilungs-Erweiterung des Snap-Ins für Gruppenrichtlinien auf Servern unter Windows 2000 SP3 nicht vertraut sein, können Sie Ihr Wissen anhand folgenden Verfahrens vertiefen. Weitere Informationen zu diesem Thema finden Sie in folgenden Anhängen dieses Whitepapers:

Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“.

Anhang C, „Import von Gruppenrichtlinieneinstellungen für Windows XP auf einem Server mit Windows 2000 SP3“.

Informationen zur Softwareverteilungs-Erweiterung des Snap-Ins für Gruppenrichtlinien

1. Auf einem Computer mit Windows 2000 SP3, öffnen Sie Start\Hilfe.

Alternativ hierzu können Sie die Windows 2000 Hilfe auf folgender Web-Site einsehen:


2. Im Register Inhalt der Hilfe suchen Sie folgenden Eintrag:

Anwender und Computer\Gruppenrichtlinien\Konzepte\Gruppenrichtlinien Überblick\Softwareinstallation

Verknüpfungen festlegen

Folgendes Verfahren können Sie als Grundlage für die Schulung der Anwender im Umgang mit Dateinamenerweiterungen, Dateitypen und Anwendungen oder Komponenten, die das Betriebssystem für das Öffnen bestimmter Dateitypen verwendet, heranziehen.

Verknüpfung von Dateinamenerweiterungen mit Dateitypen1. Öffnen Sie Start\Systemsteuerung oder Start\Einstellungen\Systemsteuerung.

2. Öffnen Sie Ordneroptionen und klicken Sie auf das Register Dateitypen.

3. Klicken Sie Neu.

4. Geben Sie eine neue oder bereits bestehende Dateinamenerweiterung ein und klicken Sie auf Erweitert.

5. Unter Verknüpfung mit Dateityp:

Wählen Sie eine bestehenden Dateitypen aus oder geben unter Neu einen neuen Dateitypen an, der mit der Dateinamenerweiterung verknüpft werden soll.

Anmerkung Wenn Sie im Dialog Eine neue Erweiterung erstellen eine Dateinamenerweiterung eingeben, wird der zugeordnete Dateityp angezeigt. Um einen Neuen einzugeben, begeben Sie sich an den Anfang der Liste.


Verknüpfung eines Dateitypen mit einer Anwendung1. Öffnen Sie Start\Systemsteuerung oder Start\Einstellungen\Systemsteuerung.

2. Öffnen Sie Ordneroptionen und klicken Sie auf das Register Dateitypen.

3. Unter Registrierte Dateitypen wählen Sie einen Dateitypen aus.

4. Klicken Sie Ändern und wählen Sie die Anwendung aus, mit der dieser Dateityp verknüpft werden soll.

Hilfe- und Supportcenter In den folgenden Abschnitten werden diese Themen behandelt:

Die Vorzüge der Schlagzeilen und Online-Suche im Hilfe- und Supportcenter

Wie Schlagzeilen und Online-Suche mit dem Internet kommuniziert

Wie Sie die Kommunikation der Schlagzeilen und Online-Suche mit dem Internet steuern

Vorteile und Nutzen

Das Hilfe- und Supportcenter ist ein Selbsthilfe Portal, welches erstmals mit Windows Millennium Edition ausgeliefert wurde. Es ist ebenfalls Bestandteil sämtlicher Windows XP Versionen einschließlich Windows XP Professional Service Pack 1 (SP1). Auf das Hilfe- Und Supportcenter können Sie wie folgt zugreifen:

Wählen Sie Hilfe und Support im Startmenü.

Wählen Sie Hilfe und Support in den Hilfemenüs der Systemsteuerung, der Netzwerkumgebung, des Arbeitsplatzes, oder der Ordner Eigene Dateien, Eigene Bilder und Eigene Musik.

Ein nützliches Leistungsmerkmal des Hilfe- und Supportcenters ist der Schlagzeilenbereich. Dieser Bereich heißt üblicherweise „Wussten Sie schon?“ und befindet sich rechts unten im Hauptfensters, es sei denn, dass dieses Fenster durch den OEM umgestaltet oder für andere Sprachen modifiziert wurde. Eine Seite mit weiteren Schlagzeilen wird im Hilfe- und Supportcenter angezeigt, wenn Sie auf den Hyperlink unterhalb des Bereiches „Wussten Sie schon?“ klicken. Schlagzeilen sind eine dynamische Informationsquelle, die der Anwender regelmäßig aufsuchen kann, um Hilfe und Support zu aktuellen Themen zu erhalten, sowie zu Themen, die zum Zeitpunkt der Veröffentlichung des Betriebsystems unbekannt waren. Beispielsweise finden sich dort Verknüpfungen zu Themen, die den Anwender über Sicherheitsbulletins, Softwareupdates oder neue Inhalte für die Hilfe auf dem Laufenden halten.

Die Online-Suche, ein weiteres nützliches Leistungsmerkmal des Hilfe- und Supportcenters, ermöglicht dem Anwender die automatische Abfrage von Web-Sites. Standardmäßig ist hier die Microsoft Knowledge Base als eine der Web-Sites für die Online-Suche eingestellt. OEMs gestalten die Online-Suche häufig um, indem Sie dem Suchfenster einen Eintrag hinzufügen, der das Durchsuchen OEM-spezifischer Web-Sites ermöglichen soll. Für bestmögliche Resultate einer Suchanfrage an die Microsoft Knowledge Base werden bestimmte Informationen bezüglich der Produktversion vom Computer des Anwenders an die Knowledge Base Server von Microsoft übertragen.

Überblick

In einer verwalteten Umgebung ist es unwahrscheinlich, dass Benutzern uneingeschränkter Zugang zum Internet gewährt wird. In der Regel wird dieser auf die eine oder andere Art von der IT Abteilung kontrolliert.

Sie können das Ausmaß der durch Schlagzeilen und Online-Suche generierten Internetkommunikation steuern, indem Sie entweder einen Registrierungsschlüssel setzen, einen entsprechenden Eintrag in einer Antwortdatei für die unbeaufsichtigte Installation erstellen, oder unter Zuhilfenahme andere Dienstprogramme über die Windows Benutzeroberfläche. Detaillierte Angaben hierzu finden Sie in den folgenden Abschnitten.


Schlagzeilen im Hilfe- und Supportcenter

Der Schlagzeilenbereich wird nur im Onlinemodus aktualisiert. Der Anwender wird nicht gefragt, ob er eine Verbindung zum Internet herstellen möchte, da das Hilfe- und Supportcenter die Angaben aus der Datei NewsSet.xml (zu finden unter %windir%\pchealth\helpctr\Config) auf dem Computer des Anwenders bezieht, um folgende Entscheidungen zu treffen:

Ob der Schlagzeilenbereich aktualisiert werden soll.

Wie oft der Schlagzeilenbereich aktualisiert werden soll.

Aus welcher Quelle im Internet die Aktualisierungen zu beziehen sind.

Dieser Abschnitt fasst den Kommunikationsvorgang zusammen:

Die Übermittlung eindeutiger Informationen: Bei einer bestehenden Internetverbindung wird beim Öffnen des Hilfe- und Supportcenters vom Hilfe- und Supportdienst (helpsvc) das aktuelle Datum mit dem TIMESTAMP Attribut in der NewsSet.XML-Datei verglichen, um die Dauer seit der letzten Aktualisierung zu errechnen.

Ist die Zahl der verstrichenen Tage größer als die im Attribut FREQUENCY der Datei NewsSet.xml angegebene, so stellt der Hilfe- und Supportdienst eine Verbindung zur angegebenen Web-Site her, um eine aktualisierte Version der Datei NewsVer.xml herunterzuladen und im Verzeichnis %windir%\pchealth\helpctr\Config\News zu platzieren. Der Anwender wird dabei nicht identifiziert.

Anmerkung Für Schlagzeilen, die von Microsoft bereitgestellt werden, lautet der URL: http://go.microsoft.com/fwlink/?LinkID=11Als Anwender von Windows XP werden Sie momentan zu folgender Seite umgeleitet:windows.microsoft.com/windowsxp/newsver.xml

Die heruntergeladene NewsVer.XML-Datei enthält Verweise auf Dateien mit neuen Inhalten (auch Newsblöcke genannt) für Windows XP in der installierten Sprachversion. Mit Hilfe dieser Dateien werden die Schlagzeilen aktualisiert und können nunmehr auf neueste Informationen zu Windows, zum Hilfe- und Supportcenter oder verwandten Themen auf Web-Sites von Microsoft verweisen, wie z.B. die Windows XP Web-Site. (www.microsoft.com/windowsxp/).

Anmerkung Sollte der OEM die Schlagzeilen umgestaltet haben, so können die Schlagzeilen auch auf Seiten des OEM verweisen.

Standard- und empfohlene Einstellungen: Standardmäßig ist der Schlagzeilenbereich aktiviert. Empfohlene Einstellungen finden Sie im nächsten Abschnitt „Steuerung der Kommunikation über das Internet“.

Auslöser: Schlagzeilen werden automatisch aufgerufen, wenn beim Öffnen des Hilfe- und Supportcenters eine Anbindung ans Internet besteht.

Benachrichtigung des Anwenders: Anwender werden nicht vor die Wahl gestellt, ob Sie den Schlagzeilenbereich aktualisieren wollen. Wird eine Aktualisierung vorgenommen, so weist ein Statusindikator „Aktualisierungsvorgang“ auf den Vorgang hin. Sobald das Hilfe- und Supportcenter seine Suche nach neuen Schlagzeilen beendet hat, wird der Schlagzeilenbereich mit dem aktuellen Datum versehen.

Protokollierung: Es werden keine Einträge in irgendwelchen Protokollierung vorgenommen.

Verschlüsselung: Die übertragenen Daten werden nicht verschlüsselt.

Zugriff: Die Microsoft Produktgruppe hat lediglich Zugriff auf Rohdaten.

Übertragungsprotokoll und -port: Die Übertragung erfolgt über HTTP-Port80.

http://www.microsoft.com/windowsxp/

http://windows.microsoft.com/windowsxp/newsver.xml

Möglichkeit der Deaktivierung: Sie können Schlagzeilen deaktivieren, indem Sie entweder einen Registrierungsschlüssel setzen oder einen entsprechenden Eintrag in einer Antwortdatei für die unbeaufsichtigte Installation erstellen. Weiterführende Informationen finden Sie unter „Deaktivierung von Schlagzeilen und Online-Suche“.

Online-Suche im Hilfe- und Supportcenter

Die Online-Suche kann nur dann Suchanfragen an Web-Sites wie die Microsoft Knowledge Base schicken, wenn eine Internetverbindung besteht. Anwender werden nicht aufgefordert, sich mit dem Internet zu verbinden. Bei einer Suche im Hilfe- und Supportcenter, prüft die Suchmaschine automatisch die Microsoft Knowledge Base und andere vom OEM bereitgestellte Web-Sites.

Dieser Abschnitt fasst die Kommunikationsvorgänge zusammen:

Die Übermittlung eindeutiger Informationen: Um bei der Suche in der Microsoft Knowledge Base zufrieden stellende Ergebnisse zu erzielen, werden bestimmte Inforationen über den Computer des Benutzers gesammelt, die dann an einen Microsoft Server, der die Knowledge Base bereitstellt, übertragen werden. Der Anwender wird hierbei nicht identifiziert. Es folgt eine Auflistung der gesammelten Daten:

Die Zeichenkette mit dem Suchtext

Der Sprachcode des Betriebssystems

Die dem Produkt entsprechende Knowledge Base (z.B., Windows XP oder Outlook)

Die Betriebssystemkennung (SKU), z.B., Home Edition, Professional, oder Server)

Die Anzahl möglicher Ergebnisse, die der Anwender in seiner Suchanfrage bestimmt hat

Status der Titelfeldes (ob nur der Titel eines Artikels durchsucht werden soll)

Status des Eingabefeldes (ob als Suchparameter ALL oder ANY für die eingegebenen Begriffe gilt)

Standard- und empfohlene Einstellungen: Standardmäßig ist die Online-Suche aktiviert. Empfohlene Einstellungen finden Sie im nächsten Abschnitt „Wie Sie die Kommunikation der Schlagzeilen und Online-Suche mit dem Internet steuern“.

Auslöser: Die Online-Suche wird automatisch durchgeführt, wenn bei einer Suchanfrage im Hilfe- und Supportcenter eine Verbindung mit dem Internet besteht.

Benachrichtigung des Anwenders: Anwender werden nicht über eine Online-Suche informiert. Im Schlagzeilenbereich des Hilfe- und Supportcenters findet sich allerdings ein dauerhafter Verweis auf die Einstellungsmöglichkeiten der Online-Suche, inklusive einer Anleitung zur Deaktivierung.

Protokollierung: Es werden keine Einträge in irgendwelchen Protokollierung vorgenommen.

Verschlüsselung: Die übertragenen Daten werden nicht verschlüsselt.

Zugriff: Die übermittelten Daten werden reorganisiert und gebündelt gespeichert. Informationen über die häufigsten Suchanfragen werden später an die Windows Produktsupport- und die Windows Anwenderunterstützungs-Teams weitergeleitet, um neue Inhalte zu erstellen, oder bestehende Inhalte zu überarbeiten.

Datenschutzrichtlinie: Microsoft erhält bei diesen Übertragungen keinerlei Informationen, die Rückschlüsse auf die Identität des Benutzers zulassen. Im Schlagzeilenbereich des Hilfe- und Supportcenters findet sich allerdings ein dauerhafter Verweis auf die Einstellungsmöglichkeiten der Online-Suche, inklusive einer Anleitung zur Deaktivierung.

Übertragungsprotokoll und -port: Die Übertragung erfolgt über HTTP-Port80.

Möglichkeit der Deaktivierung: Sie können die Online-Suche im Hilfe- und Supportcenter deaktivieren.


Durch den entsprechenden Registrierungsschlüssel oder eine unbeaufsichtigte Installation mit einem entsprechenden Eintrag in der Antwortdatei können Sie die Schlagzeilen deaktivieren und den „Wussten Sie schon?“ Bereich im Hilfe- und Supportcenter abschalten. Für eine unbeaufsichtigte Installation lautet der Eintrag in der Antwortdatei wie folgt:

[PCHealth]Headlines = 0

Die Online-Suche schalten Sie im Hilfe- und Supportcenter ab. Vergleichen Sie hierzu bitte den Abschnitt „Verfahren zur Deaktivierung der Online-Suche“.

Konfigurationseinstellungen für Schlagzeilen und Online-Suche

Schlagzeilen:Konfigurationswerkzeug Einstellung Ergebnis

Unbeaufsichtigte Installation

Der Eintrag Headlines = 0 im Abschnitt [PCHealth].

Ersetzt Text im Schlagzeilenbereich mit einer weißen Fläche

Registrierung Setzen Sie den Wert HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ PCHealth\HelpSvc\Headlines auf 0.

Ersetzt Text im Schlagzeilenbereich mit einer weißen Fläche

Suche:Konfigurationswerkzeug Einstellung Ergebnis

Hilfe- und Supportcenter Benutzeroberfläche (Suchoptionen festlegen)

Entfernen Sie alle Häkchen bezüglich der Suche in der Microsoft Knowledge Base oder auf OEM Webseiten.

Deaktiviert die Online-Suche.

Schlagzeilen und Suche:Konfigurationswerkzeug Einstellung Ergebnis

Firewall HTTP-Port80 sperren. Im Schlagzeilenbereich wird eine Offline-Meldung angezeigt. Das Fenster mit den Suchergebnissen stellt immer noch einen Bereich für Webseiten bereit, stellt aber keine Suchanfragen an diese.

Auswirkungen

Der Schlagzeilenbereich bietet Anwendern eine gute Möglichkeit, sich mit aktuellsten Lösungen zu gängigen Problemen, aktualisierten Selbsthilfe-Inhalten und Informationen zu Software- und Treiber-Updates zu versorgen. Sollten Sie die Schlagzeilen deaktivieren, bleibt der Schlagzeilenbereich im Hilfe- und Supportcenter leer.

Die Online-Suche stellt eine Möglichkeit zur Entlastung des eigenen Helpdesks dar. Schalten Sie die Online-Suche ab, können Anwender nur die lokalen Hilfeinhalte durchsuchen.

Die Deaktivierung von Schlagzeilen und Online-Suche hat keine Auswirkungen auf andere Anwendungen.

Alternative Methoden

Sie können Ihre Firewall so konfigurieren, dass die Kommunikation über HTTP-Port80 gesperrt wird, um Schlagzeilen und Online-Suche zu verhindern. Das Fenster mit den Suchergebnissen stellt immer noch einen Bereich für Web-Sites dar, stellt aber keine Suchanfragen an diese und demzufolge auch keine Ergebnisse bereit.

Weiterführende Informationen zu Firewalls entnehmen Sie bitte Anhang E: „Gemeinsam genutzte Internetverbindung (ICS) und Internetverbindungsfirewall (ICF)“.

Deaktivierung

Sie können Schlagzeilen auf einzelnen Computern deaktivieren, indem Sie die Registrierung ändern.

Deaktivierung der Schlagzeilen1. Öffnen Sie den Registrierungseditor.

2. Öffnen Sie den Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\HelpSvc\.

3. Klicken Sie Neu im Menü Bearbeiten und wählen Sie DWORD-Wert .

4. Geben Sie folgenden Namen ein: Headlines

5. Wählen Sie den neuen Eintrag aus (Headlines) und wählen Sie Ändern aus dem Menü Bearbeiten.

6. Tragen Sie als Wert „0“ ein


Anmerkung Das Setzen des Wertes auf 0 (oder der Standardwert für ein neues REG_DWORD) deaktiviert Schlagzeilen. Hat das Schlagzeilen REG_DWORD einen anderen Wert oder existiert es nicht, sind Schlagzeilen aktiviert.


Sie können Schlagzeilen während einer normalen unbeaufsichtigten Installation deaktivieren.

Unbeaufsichtigte Installation mit Antwortdatei1. Erstellen Sie eine Antwortdatei für die unbeaufsichtigte Installation oder die Installation mit RIS.

(vgl. Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“).

2. Im Abschnitt [PCHealth] der Antwortdatei tragen Sie Folgendes ein:

Headlines = 0

Anmerkung Headlines = 0 deaktiviert den Schlagzeilenbereich („Wussten Sie schon?“ im Hilfe- und Supportcenter. Headlines = 1 aktiviert den Schlagzeilenbereich.

Sie können die Online-Suche im Hilfe- und Supportcenter ausschalten.

Deaktivierung der Online-Suche 1. Klicken Sie Start\Hilfe und Support.

2. Unter dem Eingabefeld für die Suche klicken Sie auf Suchoptionen festlegen.

3. Entfernen Sie die Häkchen bei Microsoft Knowledge Base und bei allen folgenden Einträgen, die vom OEM hinzugefügt wurden.

4. Schließen Sie das Hilfe- und Supportcenter.

Internet Explorer 6 Service Pack 1In diesem Abschnitt werden folgende Themen behandelt:

Die Vorzüge des Microsoft Internet Explorers 6 Service Pack 1 (SP1) unter Windows XP Professional Service Pack 1 (SP1).

Schritte zur Planung und Verteilung von Konfigurationseinstellungen für den Internet Explorer 6 SP1, so dass die Anforderungen der Anwender für den Internetzugang mit den Anforderungen der Organisation an die Netzwerksicherheit in Einklang gebracht werden.

Sollten Sie sich gegen den Einsatz des Internet Explorers entscheiden, konsultieren Sie den Abschnitt „Internet Explorer 6 SP1 vom Desktop entfernen“.

Beispiele für Sicherheitseinstellungen im Internet Explorer 6 SP1 (im Vergleich zu Internet Explorer 5).

Ressourcen zu Themen, die die Sicherheit des Internet Explorer 6 SP1 betreffen. Folgende Themen werden behandelt:

Einstellungen zu Sicherheit und Datenschutz im Internet Explorer 6 SP1.

Eindämmung der Risiken, die Web-Basierten Anwendungen und Skripten zueigen sind.

Methoden für die Verteilung spezieller Einstellungen für den Internet Explorer 6 SP1 in Ihrer Organisation mit Hilfe von Gruppenrichtlinien, dem Internet Explorer Administration Kit (IEAK), oder beiden.

AnmerkungenIn diesem Abschnitt des Whitepapers wird der Internet Explorer 6 SP1 im Allgemeinen behandelt, jedoch nicht Outlook Express 6 (die E-Mail-Komponente des Internet Explorers 6 SP1), der Assistent für neue Verbindungen oder die Fehlerberichterstattung im Internet Explorer. Informationen zu diesen Komponenten finden Sie in den entsprechenden Abschnitten dieses Whitepapers (Die Fehlerberichterstattungskomponente des Internet Explorers wird im Abschnitt „Windows Fehlerberichterstattung“ beschrieben).

Beachten Sie bitte auch, dass der Assistent für neue Verbindungen die Assistenten für neue Netzwerkverbindungen und Internetverbindungen von Windows 2000 ablöst.

Es würde den Rahmen dieses Whitepapers sprengen, alle die Sicherheit einer Organisation betreffenden Aspekte zu erörtern, deren Anwender auf Web-Sites zugreifen, Software aus dem Internet ausführen, Dateien aus dem Internet herunterladen oder ähnliche Aufgaben durchführen. Dieser Abschnitt stellt Ihnen dennoch allgemeine Informationen zur Verfügung, wie Sie die Anforderungen der Anwender für den Internetzugang mit den Anforderungen der Organisation an die Netzwerksicherheit in Einklang bringen können.

Weitere Informationen zum Internet Explorer finden Sie in folgenden Quellen:

Internet Explorer Hilfe (bei geöffnetem Internet Explorer, klicken Sie in das Hilfe-Menü und wählen Sie den entsprechenden Eintrag)

Die Internet Explorer Seite auf der Microsoft Web Site unter:

www.microsoft.com/windows/ie/

Das Ressource Kit für den Internet Explorer. Informationen zu diesem und weiteren Ressource Kits finden Sie unter:




Vorteile und Nutzen

Der Internet Explorer 6 SP1 wurde entwickelt, um möglichst einfachen Zugriff auf Web-Sites im Internet oder Intranet zu ermöglichen. Im Unterschied zu anderen Komponenten, die in diesem Whitepaper behandelt werden, ist die Hauptfunktion des Internet Explorers die Kommunikation mit Seiten im Internet oder Intranet, während die meisten anderen Komponenten eine Verbindung zum Internet herstellen, um andere Aktivitäten zu unterstützen).

Weiterhin wurden dem Internet Explorer 6 SP1 zahlreiche Konfigurationseinstellungen mitgegeben, die Administratoren (oder Benutzern) unzählige Optionen zur Verfügung stellen, die mit Hilfe von Einstellungen zu Sicherheit und Datenschutz Ihr Netzwerk schützen, ohne den Anwender zu sehr einzuschränken.

Der Internet Explorer 6 SP1 verfügt über mehr Sicherheitsoptionen und –einstellungen als der Internet Explorer 5. Mit ausreichenden Kenntnissen über diese Einstellungen können Sie verschiedene Standardkonfigurationen in Ihrem Netzwerk planen. Nach erfolgter Planung können Sie mit Hilfe der entsprechenden Werkzeuge die Verteilung und Wartung vornehmen. Die folgenden Abschnitte halten weitere Informationen zu diesen Schritten bereit.

Planung und Verteilung

Dieser Abschnitt beschreibt eine Reihe von Schritten, mit deren Hilfe Sie den Internet Explorer 6 SP1 so einsetzen können, dass die Anforderungen der Anwender für den Internetzugang mit den Anforderungen der Organisation an die Netzwerksicherheit in Einklang gebracht werden können. (Sollten Sie sich entscheiden, sämtliche sichtbaren Einstiegspunkte für den Internet Explorer während einer unbeaufsichtigten Installation zu entfernen so konsultieren Sie bitte den Abschnitt „Internet Explorer 6 SP1 vom Desktop entfernen.)

Folgende Schritte werden empfohlen:

Bewerten Sie die anderen Elemente in Ihrer Sicherheitsplanung, die mit dem Internet Explorer 6 SP1 zusammenarbeiten, um den Internetzugang für Anwender zu gewährleisten, ohne die Sicherheit des Netzwerkes zu kompromittieren. Hierzu zählen:

Ihr Proxy-Server.

Ihre Firewall.

Ihre Standardmaßnahmen für die Sicherheit im Netzwerk, wie in der Einleitung dieses Whitepapers dargestellt. Diese Maßnahmen beinhalten den Einsatz von Antiviren-Software und komplexe Passworteinstellungen.

Detaillierte Angaben zu diesen Maßnahmen gehen über den Umfang dieses Whitepapers hinaus. Für weiterführende Informationen über Sicherheit sei auf die Referenzen in der Einleitung dieses Whitepapers und die Dokumentationen zu den Produkten, die in Ihrer Organisation zum Einsatz kommen, verwiesen.

Studieren Sie die Sicherheitsmerkmale des Internet Explorers 6 SP1, von denen einige im Abschnitt „Beispiele für Sicherheitsmerkmale im Internet Explorer 6 SP1“ aufgeführt sind. Anhand der Informationen zu diesen Leistungsmerkmalen können Sie bestimmen, welche den größten Nutzen für die Sicherheitsanforderungen Ihrer Organisation darstellen.

Studieren Sie die Konfiguration der Sicherheitseinstellungen des Internet Explorers 6 SP1 im Abschnitt „Einstellungen zu Sicherheit und Datenschutz im Internet Explorer 6 SP1“.

Machen Sie sich mit Maßnahmen zur Milderung der Risiken, die in einem Browser ausgeführter Code mit sich bringt, wie in „Risiken von Web-Basierten Programmen und Skripten eindämmen“ beschrieben.

Nachdem Sie Informationen zu den vorigen drei Themen gesammelt haben (Sicherheitsmerkmale, Sicherheitseinstellungen und Codebezogene Gefahren), können Sie eine

oder mehrere Standardkonfigurationen für den Einsatz des Internet Explorers in Ihrer Organisation erstellen.

Machen Sie sich mit den Möglichkeiten vertraut, wie Sie die Konfigurationen des Internet Explorers 6 SP1 in Ihrer Organisation verteilen können:

Studieren Sie die Gruppenrichtlinieneinstellungen, die die Konfiguration des Internet Explorers betreffen, wie unter „Gruppenrichtlinien, die die Konfiguration des Internet Explorers 6 SP 1 steuern“.

Machen Sie sich mit den Einsatzmethoden vertraut, die Ihnen das Internet Explorer Administration Kit (IEAK) 6 SP1 zu Verfügung stellt, Einige dieser Methoden werden unter „Internet Explorer Administration Kit“ beschrieben.

Nachdem Sie sich mit diesen Themen vertraut gemacht haben, können Sie den Verteilung und die Wartung Ihrer Standardkonfigurationen planen.

Internet Explorer 6 SP1 vom Desktop entfernen

Alternativ zum Einsatz des Internet Explorers in Ihrer Organisation können Sie sämtliche sichtbaren Einstiegspunkte zum Internet Explorer entfernen. Sie können dies über eine unbeaufsichtigte Installation erreichen, indem Sie folgenden Eintrag in die Antwortdatei schreiben:

[Components]IEAccess = Off

Eine detaillierte Erklärung zur Funktionsweise des IEAccess-Eintrags finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“. Lesen Sie auch die Informationen in der Hilfedatei Deploy.chm (wie Sie diese Datei finden steht in diesem Anhang).

Beispiele für Sicherheitsmerkmale

Dieser Abschnitt beschreibt Verbesserungen bei den Sicherheitsmerkmalen des Internet Explorers 6 SP1 im Vergleich mit dem Internet Explorer 5. Hierzu zählen:

Ein Register „Datenschutz“, das Ihnen zahlreiche Möglichkeiten zum Ablehnen von Cookies von bestimmten Seiten, oder bestimmten Arten von Seiten, bietet. Ein Beispiel für eine Art von Seiten, deren Cookies abgelehnt werden können, sind solche, die keine für den Computer lesbare Datenschutzrichtlinie anbieten (Das Register „Datenschutz“ stand im Internet Explorer 5 nicht zur Verfügung).

Sicherheitseinstellungen, die festlegen, wie der Internet Explorer 6 SP1 mit riskanteren Technologien wie ActiveX, Downloads, and Skripten verfährt. Diese Einstellungen können nach Bedarf angepasst werden, oder es können folgende, vordefinierte Einstellungen verwendet werden: hoch, mittel, niedrig oder sehr niedrig. Außerdem können Sie unterschiedliche Einstellungen für verschieden Zonen vornehmen, wobei vier voreingestellte Zonen bereits vorhanden sind:

Lokales Intranet: Adressen innerhalb des Proxy-Servers.

Vertrauenswürdige Sites: Seiten, die Sie als „vertrauenswürdig“ deklarieren.

Eingeschränkte Sites: Seiten, die Sie als „eingeschränkt deklarieren.

Internet: Alles, was sich nicht in einer anderen Zone befindet und nicht lokal vorliegt.

Weiterhin können Sie für die folgenden Zonen verschiedene Einstellungen:

Arbeitsplatz Zone: Diese Zone lässt sich nur mit Hilfe des IEAK konfigurieren. Hier finden sich lokal abgelegte Dateien. Die Konfigurationseinstellungen stehen im Browser nicht zur Verfügung.

Angepasste Zonen: Diese werden programmatisch über das URL-Sicherheitszonen-API hinzugefügt. Weitere Informationen zu diesem API finden Sie auf der Microsoft Developers Network Web-Site unter:

msdn.microsoft.com/

Unterstützung für Inhaltsbeschränkte IFrames (Inline Floating Frames). Diese Art der Unterstützung ermöglicht es Entwicklern, IFrames so zu implementieren, dass es böswilligen Programmierern schwerer gemacht wird, E-mail- oder Inhaltsbasierte Angriffe zu starten.

Verbesserungen in Service Pack 1, die die allgemeine Sicherheit und Zuverlässigkeit des Internet Explorers 6 verbessern.

Weitere Informationen zu den Leistungsmerkmalen des Internet Explorers 6 finden Sie im folgenden Abschnitt, sowie auf der Internet Explorer Web-Site unter:


Quellen zum Thema Sicherheit

Dieser Abschnitt enthält eine Zusammenstellung von Quellen, mit deren Hilfe Sie sich über folgende Themen in Bezug auf Sicherheit im Internet Explorer 6 SP1 informieren können:

Sicherheits- und Datenschutzeinstellungen im in Internet Explorer 6 SP1

Verfahren zur Eindämmung der Risiken, die Web-Basierte Programme und Skripte in sich bergen

Konfigurationseinstellungen für den Internet Explorer 6 SP1 mit Hilfe von Gruppenrichtlinien

Das Internet Explorer Administration Kit (IEAK)

Weiterhin können Sie sich in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“ über weitere Quellen zur unbeaufsichtigten Installation informieren.

Sicherheit und Datenschutz

Eine wichtige Informationsquelle über Sicherheits- und Datenschutzeinstellungen im Internet Explorer 6 SP1 ist das Microsoft Internet Explorer 6 Ressource Kit. Besuchen Sie für Informationen zu diesem Ressource Kit oder zu weiteren die Windows Deployment and Ressource Kits Web-Site unter:


Das Microsoft Internet Explorer 6 Ressource Kit besteht aus verschiedenen Teilen, unter anderem diese:

„Datenschutz und Sicherheitsmerkmale“

„Vorbereitung für den Einsatz“

„Eigengestaltung und Installation“

„Wartung und Support“, einschließlich Informationen für eine Updatepolitik

Anhänge, u.a. ein Anhang mit dem Titel „Systemrichtlinien und –beschränkungen“

Risiken von Web-Basierten Programmen und Skripten eindämmen

In einer Netzwerk- und Internetbasierten Umgebung können Anwendungen verschiedene Formen annehmen, einschließlich Skripten in Dokumenten, Skripten in E-Mails oder Programme oder anderer Codeobjekte, die als Bestandteil von Seiten im Web ausgeführt werden. Diese Programme können sich über das Internet frei bewegen und werden daher manchmal als „Mobiler Code“ bezeichnet. Die




Konfigurationseinstellungen bieten Ihnen die Möglichkeit, auf die Art und Weise, wie der Internet Explorer 6 SP1 auf bestimmte Codeobjekte reagiert, zu beeinflussen. Es folgen zwei Beispiele, wie Sie Ihre Einstellungen in Ihrer Organisation verteilen können:

Sie können bestimmen, welche Art von Code Anwender ausführen dürfen (ActiveX-Steuerelemente, Skripte, etc.). Dies erreichen Sie durch die Gestaltung der Authenticode-Einstellungen, indem Sie Benutzern das Ausführen von unsigniertem – oder von bestimmten Autoren signiertem – Code untersagen.

Falls Sie Anwendern die Nutzung von ActiveX-Steuerelementen erlauben, das Herunterladen von Code aus dem Internet aber verbieten wollen, so können Sie den Internet Explorer 6 SP1 anweisen, dass er bei der Suche nach einer ausführbaren Datei eine Web-Site in Ihrem Intranet ansteuert anstelle einer Seite im Internet. Weitere Informationen finden Sie im Whitepaper mit dem Titel „Managing Mobile Code with Microsoft Technologies“. Suchen Sie in diesem Whitepaper nach „CodeBaseSearchPath“. Sie finden dieses Whitepaper unter:

www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bestprac/mblcode.asp

Weiterführende Informationen über die Funktionsweise verschiedener Microsoft Programmier- oder Skriptsprachen finden Sie auf der Microsoft Developers Network Web-Site unter:

msdn.microsoft.com/

Informationen zu Gruppenrichtlinien

Sie können die Konfigurationseinstellungen für den Internet Explorer 6 SP1 über Gruppenrichtlinien von Windows 2000 Server oder das IEAK vornehmen. (Vgl. hierzu den Abschnitt „Internet Explorer Administration Kit“). Informationen zu Gruppenrichtlinien finden Sie in den Anhängen dieses Whitepapers.

Zu Gruppenrichtlinieneinstellungen, die auf Computer mit Windows XP Professional SP1 angewendet werden können konsultieren Sie die Tabelle im „Windows XP Professional Resource Kit, Group Policy Object Settings" unter: www.microsoft.com/WindowsXP/pro/techinfo/productdoc/gpss.asp

Internet Explorer Administration Kit

Mit Hilfe der Technologien des Internet Explorer Administration Kit (IEAK) können Sie die Konfigurationseinstellungen für den Internet Explorer innerhalb Ihrer Organisation effizient verteilen.

Es folgen einige Leistungsmerkmale des IEAK:

Internet Explorer Customization Wizard. Schritt-für-Schritt Anleitungen zu den Verfahren zum Erstellen verschiedener Browserpakete für Ihrer Clients.

IEAK Profile Manager. Nach der Verteilung des Internet Explorer können Sie mit Hilfe des IEAK Profile Manager Browser-Einstellungen automatisch ändern lassen.

IEAK Toolkit. Das IEAK Toolkit enthält verschiedene hilfreiche Dienstprogramme und Beispieldateien.

IEAK Hilfe. In der IEAK Hilfe finden Sie viele konzeptionelle Themen und Verfahren, die Sie über die Register Index, Inhalt und Suche leicht aufspüren können.

Weiterführende Informationen zum IEAK finden Sie auf der IEAK Web-Site: www.microsoft.com/windows/ieak/

http://www.microsoft.com/windows/ieak/


http://msdn.microsoft.com/

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bestprac/mblcode.asp

Internetspiele unter Windows XPDer folgende Abschnitt enthält Inforationen zu folgenden Themen:

Die Vorzüge von Internetspielen unter Windows XP

Wie Internetspiele unter Windows XP mit Seiten im Internet kommunizieren, einschließlich der MSN Gaming Zone

Wie Sie die Kommunikation von Internetspielen mit dem Internet steuern

Vorteile und Nutzen

Das Installationspaket von Microsoft Windows XP Professional Service Pack 1 (SP1) enthält sechs Standardspiele für Windows und fünf neue Internetspiele. Diese Spiele finden Sie unter Start\Alle Programme\Spiele. Keines der sechs Standardspiele kommuniziert in irgendeiner Form mit dem Internet. Die neuen Internetspiele hingegen öffnen eine eingeschränkte Verbindung zum Bereich der kostenlosen Spiele der Gaming Zone, die Sie unter www.zone.msn.com finden.

Die MSN Gaming Zone ist Bestandteil des Microsoft Network (MSN). Hier können Anwender Spiele herunterladen, sich online mit anderen Spielern messen, oder einfach eines der zahlreichen Spiele spielen, die keine Interaktion mit anderen Spielern voraussetzen. Die MSN Gaming Zone bietet zudem Foren, die als Chaträume genutzt werden, und wo Sie Mitspieler finden können.

Überblick

Internetspiele unter Windows XP unterscheiden sich ein wenig von den Spielen auf der MSN Gaming Zone Web-Site. Die Versionen auf der MSN Gaming Zone Web-Site unterstützen Chats, freie Namenswahl, Wettbewerbe, Turniere und Kontaktlisten, neben anderen Leistungsmerkmalen. Die Internetspiele von Windows XP haben für sich genommen keine Webkomponenten; ihre Funktionalität und die Art der Kommunikation mit dem Gaming Zone Server wird im folgenden Abschnitt erörtert.

Die Spiele von Windows XP können aus dem Setup entfernt werden. Damit eliminieren Sie jedwede Kommunikation mit der MSN Gaming Zone. Der direkte Zugang zu dieser Seite kann je nach Standardverfahren Ihrer IT auch durch Firewall- oder Gateway-Einstellungen gesperrt werden.


Startet ein Anwender eines der Internetspiele unter Start\Alle Programme\Spiele erscheint ein Hinweis über den bevorstehenden Verbindungsversuch mit dem Bereich für kostenlose Siele in der MSN Gaming Zone. (Die MSN Gaming Zone finden Sie unter www.zone.msn.com; unter www.zone.msn.com/hub_flog.asp können Sie den Bereich für kostenlose Spiele direkt ansteuern.) Der Dialog zeigt eine Warnmeldung bezüglich des bevorstehenden Informationsaustausches und biete dem Anwender die Möglichkeit, diesen Vorgang abzubrechen. Entscheidet sich der Anwender für eine Verbindung, wird eine eingeschränkte interaktive Sitzung mit anderen Onlinespielern initiiert.

Wie bereits erwähnt handelt es sich bei dem Bereich für kostenlose Spiele um einen Teil der MSN Gaming Zone, die eine externe Web-Site darstellt, zu der Sie sich mit Hilfe eines Internet-Browsers direkt verbinden können. Nach erfolgter Verbindung können Sie anonym spielen, sich für einen Chat einloggen, mit Anderen spielen oder neue Spiele herunterladen.

Dieser Abschnitt erläutert die verschiedenen Informationen, die während einer solchen Verbindung ausgetauscht werden:

Die Übermittlung eindeutiger Informationen: MSN Web-Sites setzen einen gültigen Passport voraus. Die einzige zusätzlich benötigte Information ist ein einzigartiger Name, der anonym bleibt.

http://www.zone.msn.com/hub_flog.asp

http://www.zone.msn.com/

http://www.zone.msn.com/

Es besteht keine Möglichkeit, diesen Namen zuzuordnen und er wird für sämtliche MSN Dienste verwendet (anstelle des Passport Namens, oder irgendeinem anderen Bestandteil des Passports).

MSN nutzt den .NET Passport als Registrierungs- und Authentifizierungsdienst. MSN nutzt auch Cookies und Webbeacons (über das Webbeacon werden keine persönlichen Informationen gesammelt; es liest lediglich eine Cookiezahl, Datum und Uhrzeit des Seitenbesuchs und eine Beschreibug der Seite, die das Webbeacon beherbergt).

Standardeinstellungen: Der Anwender muss den Vorgang bestätigen, bevor er Zugang zu den Spielen erhält.

Auslöser: Anwender starten eines der Internetspiele über das Startmenü.

Benachrichtigung des Anwenders: Ohne die Bestätigung des Benutzers werden keine Daten mit dem Gameserver ausgetauscht. Nach der Bestätigung werden lediglich die Spielzüge vom Client auf den Server übertragen.

Verschlüsselung: Es findet keine Verschlüsselung statt.

Zugriff: Das Gameserver Supportpersonal und das MSN Gaming Zone Supportpersonal können auf die Daten zugreifen.

Datenschutzrichtlinie: Die Datenschutzrichtlinie für die MSN Gaming Zone ist Bestandteil der Richtlinie für das MSN.

Anschluss: Der Anschluss-Bereich geht von 28000 bis 29000.

Übertragungsprotokoll: Die Verbindung erfolgt über TCP/IP-Winsock (Windows Sockets API).

Möglichkeit der Deaktivierung: Die Einwilligung des Benutzers ist Vorraussetzung für den Aufbau einer Verbindung. Die Spiele können deinstalliert und der Zugang zur MSN Gaming Zone kann mit Hilfe einer Firewall gesperrt werden.

Eindeutige Benutzeridentifikation: Ein zufällig generierter GUID (Globally Unique Identifier) wird bei der ersten Nutzung auf dem Server hinterlegt. Dieser wird für die eindeutige (anonyme= Identifikation eines jeden Clients genutzt.


Die einfachste Methode zur Eindämmung des Kommunikationsflusses ist die Deinstallation der Spiele. Da sich Computer eine Gameserver via DNS-Eintrag suchen, können Sie auf Ihrer Firewall den DNS-Eintrag für die MSN Gaming Zone unter www.zone.msn.com sperren.

Sie können weiterhin den Internetzugang oder den Zugriff auf die MSN Gaming Zone sperren. Der zugriff auf Internet Web-Sites kann durch den Einsatz eines Proxy-Servers, einer Firewall oder dem Microsoft Internet Security and Acceleration (ISA) Server gesperrt werden. Ein Administrator kann hier eine Liste mit verbotenen IP-Adressen pflegen. Versucht ein Client auf eine dieser Seiten zuzugreifen, erhält er eine Fehlermeldung. Verfahren zur Deinstallation über die Benutzeroberfläche oder mit Hilfe einer Antwortdatei für die unbeaufsichtigte Installation finden Sie im nächsten Abschnitt.

Konfiguration

Der Zugriff auf die Internetspiele von Windows XP kann wie zuvor beschrieben konfiguriert werden. Dieser Abschnitt beschreit Verfahren zur Deinstallation der Internetspiele im Einklang mit den Sicherheitsrichtlinien Ihres Unternehmens.

Die folgenden Verfahren beinhalten Informationen zu diesen Themen:

Deinstallation der Internetspiele von Windows XP über die Benutzeroberfläche.

Ausschluss der Internetspiele während einer unbeaufsichtigten Installation von Windows XP mit Hilfe einer Antwortdatei.

Deinstallation der Internetspiele 1. Öffnen Sie Start\Systemsteuerung\Software. (Für diesen Vorgang benötigen Sie administrative

Privilegien.)

2. Im Dialogfenster von Software, klicken Sie Windows-Komponenten hinzufügen/entfernen.

3. Im Assistenten für Windows-Komponenten wählen Sie Zubehör und Dienstprogramme und klicken auf Details.

4. In Zubehör und Dienstprogramme wählen Sie Spiele und klicken auf.

5. Im Dialog Spiele entfernen Sie die Häkchen bei den Spielen, die Sie deinstallieren wollen.

6. Klicken Sie OK.

7. Klicken Sie OK.

8. Klicken Sie Weiter, um Setup zu starten. Um Setup erfolgreich abzuschließen benötigen Zugriff auf die Installationsdateien (Datenträger oder Netzwerkfreigabe.

Unbeaufsichtigte Installation mit Antwortdatei1. Erstellen Sie eine Antwortdatei für Ihre bevorzugte Art der Installation (unbeaufsichtigt oder RIS).

Weitere Informationen zur unbeaufsichtigten Installation oder zur Installation mit Hilfe von RIS finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen.“


Zonegames = Off

Anmerkung Sie können auch anhand eines Registrierungsschlüssels prüfen (manuell oder per Skript), ob die Internetspiele installiert sind. Ändern Sie diesen Schlüssel auf keinen Fall. Ein Schlüsselwert von 0x00000000 bedeutet, dass die Komponente nicht installiert ist; bei einem Wert von 0x00000001 ist sie installiert. Der Schlüssel lautet wie folgt:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\zonegames

Internet-InformationsdiensteDie folgenden Abschnitte behandeln diese Themen:

Die Vorzüge der Internet-Informationsdienste (IIS) von Microsoft Windows XP Professional Service Pack 1 (SP1).

Wie Sie die Kommunikation von IIS mit dem Internet steuern können

Vorteile und Nutzen

IIS 5.1 ist eine optionale Komponente von Windows XP SP1. Die Installation dieser Dienste für ausgewählte Anwender ermöglicht es diesen, Information auf einfachstem Wege im Internet oder Intranet zu veröffentlichen. IIS beinhaltet innovative Sicherheitsmerkmale und eine Vielzahl administrativer Möglichkeiten für die Verwaltung von Web-Sites. Programmatische Merkmale wie Active Server Pages (ASP) ermöglicht Benutzern, denen die Verantwortung für das Erstellen von Web-Sites übertragen wurde, die einfache Erstellung und Verteilung von flexiblen Webanwendungen.

IIS wird standardmäßig nicht installiert, kann jedoch über Systemsteuerung\Software nachinstalliert werden. IIS von Windows XP Professional SP1 können standardmäßig nur 10 Verbindungen für eine einzelne Web-Site bedienen und unterstützt nicht sämtliche Merkmale der Serverversion. IIS 5.1 von Windows XP Professional SP1 beinhaltet das Snap-In für die Microsoft Management Console (MMC) zur Verwaltung von IIS. Weiterführende Informationen zu den Leistungsmerkmalen von IIS finden Sie auf folgenden Web-Sites:

Die IIS 5.1 Seite (Bestandteil der Evaluationsseiten von Windows XP Professional) unter:

www.microsoft.com/WindowsXP/pro/evaluation/overviews/iis.asp

Die IIS Security Seite (im Technet) unter:

www.microsoft.com/technet/security/prodtech/windows/iis/default.asp

Überblick

In einer verwalteten Umgebung sollten Sie Anwender, denen die Installation von IIS gestattet wird, vorsichtig auswählen. In mancherlei Hinsicht haben diese Anwender die Aufgaben eines Serveradministrators und sollten daher in punkto Sicherheit und Überwachung geschult werden.

Es würde den Rahmen dieses Whitepapers sprengen, wenn sämtliche Sicherheitsaspekte behandelt würden, die für einen Computer, der eine Web-Site bereitstellt, von Nöten sind. Da in einer verwalteten Umgebung die Internet-Informationsdienste wahrscheinlich von den meisten Desktops ausgeschlossen werden, enthalten die folgenden Abschnitte die Verfahren zum Ausschluss von IIS während der Installation.


Für ein Höchstmaß an Sicherheit und Einflussnahme auf die Kommunikation mit dem Internet in Ihrer Organisation können Sie die IIS-Komponenten von der Installation ausschließen. Sie erreichen dies über die Standardmethoden der unbeaufsichtigten Installation oder der Installation mit Hilfe von RIS. Sollten Sie eine Antwortdatei verwenden, so konsultieren Sie die nachfolgende Tabelle, in der alle Einträge für den Abschnitt [Components] aufgelistet sind.

Anmerkung Standardmäßig werden die in der Tabelle aufgelisteten Komponenten nicht mit Windows XP Professional installiert.

http://www.microsoft.com/technet/security/prodtech/windows/iis/default.asp

http://www.microsoft.com/WindowsXP/pro/evaluation/overviews/iis.asp

Die folgende Tabelle listet die Einträge für eine Antwortdatei, gemeinsam mit den entsprechenden Registrierungsschlüsseln. Verändern Sie diese Schlüssel auf keinen Fall. Sie dienen als Hinweis, wie Sie per Skript den Status dieser Komponenten abrufen können. Ein Schlüsselwert von 0x00000000 bedeutet, dass die Komponente nicht installiert ist. Bei einem Wert von 0x00000001 ist sie installiert.

Einträge in einer Antwortdatei und die Registrierungsschlüssel

IIS Subkomponente

Eintrag in einer Antwortdatei (im Abschnitt [Components])

Registrierungsschlüssel (für den Einsatz in einem Skript zur Prüfung auf das Vorhandensein einer Komponente):0x00000000 bedeutet: nicht installiert;0x00000001 bedeutet: installiert

Gemeinsame Dateien iis_common = Off HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\iis_common

Dokumentation IIS_doc = Off HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\iis_doc

FTP-Dienst iis_ftp = Off HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\iis_ftp

Snap-In Internet-Informationsdienste

iis_inetmgr = Off HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\iis_inetmgr

SMTP-Dienst iis_smtp = Off HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\iis_smtp

WWW-Dienst iis_www = Off HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\iis_www

Keine Subkomponente: dieser Eintrag regelt die Erstellung eines optionalen Skriptverzeichnisses auf der Standard Webseite

iis_www_vdir_scripts = Off

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\iis_www_vdir_scripts

FrontPage-Servererweiterungen fp_extensions = Off HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\fp_extensions

Überprüfung

Es werden folgende Verfahren erörtert:

Prüfung der Registrierungsschlüssel aus der oben aufgeführten Tabelle

Prüfung der installierten Komponenten auf einem Computer mit Windows XP

Ausschluss der IIS-Subkomponenten während einer unbeaufsichtigten Installation mit einer Antwortdatei

Registrierungsschlüssel von IIS-Subkomponenten1. Öffnen Sie den Registrierungseditor, indem Sie unter Start\Ausführen „regedit“ eingeben.

Vorsicht Die unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Schäden an Ihrem System verursachen. Bevor Sie Änderungen an der Registrierung vornehmen sollten

Sie alle wichtigen Daten sichern. Weiterhin können Sie die „Letzte als funktionierend bekannte Konfiguration“ Startoption nutzen, sollten Sie nach der Änderung irgendein Fehlverhalten des Systems diagnostizieren.

1. Öffnen Sie HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\.

2. Prüfen Sie die Registrierungsschlüssel in der Tabelle im letzten Abschnitt und deren Werte. Ein Schlüsselwert von 0x00000000 bedeutet, dass die Komponente nicht installiert ist. Bei einem Wert von 0x00000001 ist sie installiert.


Installierten Komponenten 1. Öffnen Sie Start\Systemsteuerung\Software. (Für diesen Vorgang benötigen Sie administrative

Privilegien.)

2. Im Dialogfenster von Software, klicken Sie Windows-Komponenten hinzufügen/entfernen.

3. Im Assistenten für Windows-Komponenten wählen Sie Internet-Informationsdienste und klicken auf Details.

4. Prüfen Sie, welche Subkomponenten mit einem Häkchen versehen sind.

Unbeaufsichtigte Installation mit Antwortdatei 1. Erstellen Sie eine Antwortdatei für Ihre bevorzugte Art der Installation (unbeaufsichtigt oder RIS).

Weitere Informationen zur unbeaufsichtigten Installation oder zur Installation mit Hilfe von RIS finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“.

2. Im Abschnitt [Components] der Antwortdatei prüfen Sie das Vorhandensein der Einträge aus der Tabelle „Einträge in einer Antwortdatei und die Registrierungsschlüssel, die sich auf die IIS-Subkomponenten beziehen“. Sollten Sie diese Komponenten in der Antwortdatei auflisten wollen, so vergewissern Sie sich, dass alle Schalter auf Off stehen.

IIS-Subkomponenten, die in der Antwortdatei nicht aufgeführt sind, werden während einer unbeaufsichtigten Installation von Windows XP Professional SP1 nicht installiert.

InternetdruckenIn den folgenden Abschnitten werden diese Themen behandelt:

Die Vorzüge des Internetdruckens

Wie beim Internetdrucken mit dem Internet kommuniziert wird

Wie Sie die Kommunikation mit dem Internet beim Internetdrucken steuern können

Vorteile und Nutzen

Internetdrucken ermöglicht es Ihnen, von einem Computer mit Microsoft Windows XP Professional Service Pack 1 (SP1) einen Drucker irgendwo in der Welt über Hypertext Transfer Protocol (HTTP) anzusteuern.

Weiterhin können Computer mit Windows XP die Internet-Informationsdienste (IIS) nutzen, um Informationen und Transportmöglichkeiten zum Internetdrucken bereitzustellen.

Überblick

Sie müssen sowohl Client- als auch Serverkomponenten in Ihre Planung einbeziehen:

Server: Sie können auf einem Computer mit Windows XP die Internet-Informationsdienste installieren und diesen Computer für das Internetdrucken konfigurieren. In einer verwalteten Umgebung möchten Sie unter Umständen die Installation der IIS und damit die Möglichkeit des Internetdruckens untersagen, oder Sie möchten IIS und Internetdrucken sicher konfigurieren, so dass diese Funktionen nur bestimmten Benutzern zur Verfügung steht.

Client: Client-Computer können einen Internetdrucker mit Hilfe des Web-Browsers oder über den Druckerinstallations-Assistenten hinzufügen. Wollen Sie das Internetdrucken verhindern, müssen Sie Benutzern das Recht zum Hinzufügen eines Internetdruckers entziehen.

Detaillierte Informationen zum Erreichen dieser Ziele werden später in diesem Abschnitt erörtert.


Der Vorgang des Internetdruckens lässt sich wie folgt beschreiben:

1. Ein Anwender verbindet sich mit einem Drucker über das Internet, in dem er den URL des Druckausgabegeräts eingibt.

2. Eine HTTP-Anforderung wird über das Internet an den Druckserver geschickt.

3. Der Druckserver verlangt eine Authentifizierung vom Client. Dies ermöglicht lediglich ausgewählten Benutzern das Drucken über diesen Druckserver.

4. Nachdem ein Anwender autorisierten Zugang zum Druckserver erhalten hat, übermittelt der Server Statusinformationen mit Hilfe von Active Server Pages (ASP), die Informationen zu den momentan verfügbaren Druckern beinhalten.

5. Stellt ein Anwender eine Verbindung zu einem der Drucker her, sucht Windows XP lokal nach dem Druckertreiber. Wird kein passender Treiber gefunden, generiert der Server eine Kabinettdatei (.cab Datei, auch bekannt als Setupdatei), die die nötigen Druckerdateien enthält. Der Druckserver überträgt die Kabinettdatei an den Client. Der Anwender wird gefragt, ob er die Datei herunterladen möchte.

6. Nachdem der Anwender sich mit dem Drucker verbunden hat, kann er Dokumente an den Druckserver über das Internet Printing Protocol (IPP) senden.

Die Kommunikation beim Internetdrucken erfolgt über IPP und HTTP (oder HTTPS) über einen beliebigen Anschluss, den der Druckserver hierfür bereitstellt. Normalerweise sind dies die Anschlüsse 80 und 443. Da Internetdrucken HTTPS unterstützt, kann die Übertragung verschlüsselt erfolgen, falls die Browser-Einstellungen dies zulassen.

Client-Computer unter Windows XP können Internetdrucken standardmäßig nutzen. Anwender müssen jedoch vom Druckserver authentifiziert werden, bevor sie einen der angeschlossenen Drucker nutzen können. Mit der Installation von IIS auf Computern mit Windows XP wird das Internetdrucken automatisch aktiviert. Um die Bereitstellung von Internetdrucken auf Computern mit Windows XP zu verhindern, machen Sie sich mit den folgenden Abschnitten vertraut.

Der Druckserver kann über IIS oder andere Technologien umfangreiche Daten über den Anwender sammeln und speichern. Es liegt außerhalb des Rahmens dieses Whitepapers, Vorgänge auf Web-Sites detailliert zu beschreiben. Weitere Informationen zu IIS finden Sie im Abschnitt „Internet-Informationsdienste von Windows XP SP1“ in diesem Whitepaper.


Client-Computer

Um das Internetdrucken von einem Client-Computer aus zu verhindern, können Sie den Registrierungsschlüssel, der der Druckwarteschlange das Laden des Internet Print Providers ermöglicht. Dieses Verfahren wird im nächsten Abschnitt beschrieben.

Auswirkungen

Das Löschen des Registrierungsschlüssels für den Internet Print Provider hindert Anwender an der Nutzung von Internetdrucken über Start\Ausführen, den Druckerinstallations-Assistenten und den Browser. Das Löschen des Schlüssels kann sich jedoch auf andere Druckvorgänge auswirken.

Druckserver

Wie zuvor beschrieben, können Anwender auf einem Computer mit Windows XP die Internet-Informationsdienste installieren, um den Computer als Server für Internetdruckvorgänge zu konfigurieren. Dies können Sie mit Hilfe von Gruppenrichtlinien folgendermaßen steuern:

Verbieten Sie Anwendern die Installation von IIS (empfohlen)

Deaktivieren Sie Internetdrucken wenn die Internet-Informationsdienste installiert sind

Schränken Sie den Zugriff auf den Drucker für ausgewählte Anwender ein

Deaktivierung

Um das Internetdrucken von einem Client-Computer aus zu verhindern, können Sie den Registrierungsschlüssel, der der Druckwarteschlange das Laden des Internet Print Providers ermöglicht. Dieses Verfahren muss auf jedem Computer mit Windows XP durchgeführt werden. Um sicherzustellen, dass diese Vorgänge auf allen Computern Ihrer Organisation korrekt durchgeführt werden, sollten Sie über den Einsatz eines Skriptes oder einer automatisierten Setuproutine nachdenken.

Löschen des Registrierungsschlüssels 1. Öffnen Sie Start\Systemsteuerung.

2. Öffnen Sie Verwaltung\Dienste.

3. Halten Sie den Druckwarteschlangen-Dienst an.

4. Löschen Sie im Registrierungseditor folgenden Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\Internet Print Provider

5. Starten Sie den Druckwarteschlangen-Dienst.


Deaktivierung

Es wird empfohlen, dass Sie Anwendern die Installation der Internet-Informationsdienste untersagen. Eine detailliert Beschreibung hierzu finden Sie im Abschnitt „Internet-Informationsdienste“ in diesem Whitepaper.

Die nächstbeste Möglichkeit wäre die Deaktivierung von Internetdrucken auf dem Computer, auf dem IIS ausgeführt wird. Das folgende Verfahren beschreibt, wie Sie dies mit Hilfe von Gruppenrichtlinien erreichen.

Deaktivierung mit Hilfe von Gruppenrichtlinien1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um

Gruppenrichtlinien zu konfigurieren, je nachdem ob Sie diese auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden wollen. Weitere Informationen zu Gruppenrichtlinien finden Sie in der Windows-Hilfe und in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien.“

2. Öffnen Sie Computerkonfiguration\Administrative Vorlagen\Drucker.

3. Im Detailbereich öffnen Sie Web-Basiertes Drucken.

4. Wählen Sie „deaktiviert“..

Anmerkung Diese Gruppenrichtlinieneinstellung entspricht dem Registrierungseintrag\Hkey_Local_Machine\Software\Policies\Microsoft\Windows NT\Printers to DisableWebPrinters.

Verwandte Themen

Weitere Informationen zur Verwaltung von Windows XP in einer Windows 2000 Serverumgebung finden Sie im Whitepaper unter:

www.microsoft.com/windowsxp/pro/techinfo/administration/policy/default.asp

Allgemeine Informationen zu Gruppenrichtlinien finden Sie in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien“ und Anhang C, „Import von Gruppenrichtlinieneinstellungen für Windows XP auf einem Server mit Windows 2000 SP3“.

Für besondere Gruppenrichtlinieneinstellungen für Computer unter Windows XP Professional konsultieren Sie bitte den Spreadsheet „Windows XP Professional Resource Kit, Group Policy Object Settings“ unter:

http://www.microsoft.com/windowsxp/pro/techinfo/administration/policy/default.asp

www.microsoft.com/WindowsXP/pro/techinfo/productdoc/gpss.asp

Weitere Informationen zum Einsatz von IIS in einer überwachten Umgebung finden Sie im Abschnitt „Internet-Informationsdienste von Windows XP SP1“ in diesem Whitepaper.

Weitere Informationen zum Internetdrucken finden Sie in „Overview of Internet Printing in Windows 2000" in der Microsoft Knowledge Base. Sie können die Knowledge Base durchsuchen, indem Sie unter support.microsoft.com/ den Anleitungen auf der Seite folgen. Suchen Sie nach „Internetdrucken.“



Internet Protokoll Version 6 (IPv6)In den folgenden Abschnitten werden diese Themen behandelt:

Eine Einführung in IPv6

Die Vorzüge von IPv6

Wie IPv6 mit dem Internet kommuniziert

Wie Sie die Kommunikation von IPv6 mit dem Internet steuern können

Wie Sie IPv6 nach erfolgreicher Konfiguration überwachen

Einführung

Die aktuelle Version des Internetprotokolls (IP Version 4 oder IPv4) wurde seit 1981 nicht mehr großartig verändert. In diesem Jahr hat die IETF (Internet Engineering Task Force) die Spezifikation für IP verabschiedet, wie in RFC 791 dargelegt. IPv4 hat sich als robust, einfach zu implementieren und interoperabel erwiesen. Es hat seine Bewährungsprobe mit Bravour bestanden, nämlich die Skalierung eines Internets auf das globale Netzwerk, welches wir heute als Internet bezeichnen.

Das ursprüngliche Design von IPv4 konnte jedoch nicht das exponentielle Wachstum des Internets, die Grenzen des Adressraums und die aufwändige Verwaltung von Routinginformationen prognostizieren. Aufgrund der Implementierung von IPv4 Netzwerk-IDs befinden sich in der Regel mehr als 70,000 Routen in den Routing-Tabellen der Internet Backbone Router. Die meisten IPv4 Implementierungen werden manuell oder über ein Konfigurationsprotokoll wie DHCP konfiguriert. Mit der Vergabe von IP-Adressen an mehr und mehr Computer und Geräte, wird ein einfacheres Verfahren zur automatischen Konfiguration nötig, das keine DHCP-Infrastruktur voraussetzt.

Ein weiterer Faktor, der die Entwicklung von IPv6 vorantreibt, ist die Notwendigkeit stärkerer Verschlüsselung. Private Kommunikation über ein öffentliches Medium wie das Internet setzt Verschlüsselungsdienste voraus, die Daten während der Übertragung vor unbefugtem Zugriff schützen können. Es existiert ein Sicherheitsstandard für IPv4 (IPSec), dessen Einsatz allerdings optional ist, so dass es viele proprietäre Lösung gibt.

Zwar gibt es QoS (Quality of Service) Standards für IPv4, doch verlässt sich der Echtzeitverkehr auf das IPv4 TOS (Type of Service) Feld und die Identifizierung über UDP- oder TCP-Anschluss. Leider unterliegt das IPv4 TOS Feld einigen Einschränkungen und wird unterschiedlich interpretiert. Weiterhin ist die Datenidentifikation anhand des UDP- oder TCP-Anschlüsse nicht möglich, wenn die IPv4 Übertragung verschlüsselt wird.

Um diesen Problemen entgegen zu kommen, hat die IETF eine neue Protokoll-Suite unter dem Namen IPv6 entwickelt. Diese neue Version, vormals unter Namen IPng (IP – The Next Generation) bekannt, beinhaltet viele der vorgeschlagenen Konzepte für die Aktualisierung von IPv4. IPv6 wurde so entwickelt, dass die Beeinträchtigung sowohl von höher- als auch niederschichtigen Protokollen durch den Verzicht auf das willkürliche Hinzufügen neuer Merkmale möglichst gering gehalten wird.

Die neuesten RFCs und Entwürfe zur Koexistenz von IPv6/IPv4 finden Sie unter:

www.ietf.org/html.charters/ngtrans-charter.html

(Web-Adressen können sich ändern, so dass Sie möglicherweise keine Verbindung zu hier angegebenen Seiten herstellen können.)

http://www.ietf.org/html.charters/ngtrans-charter.html

Vorteile und Nutzen

Der IPv6-Header hat ein neues Format, welches die Header-Verifizierung und Weiterverarbeitung auf ein Minimum reduzieren soll. Eine IPv6-Adresse ist viermal so lang wie eine IPv4-Adresse. Die globalen Adressen, die im IPv6 Bereich des Internets zum Einsatz kommen, sorgen für eine effiziente, hierarchische und konsolidierte Routing-Infrastruktur, die sich den verschiedenen Ebenen von Internetdienstanbietern widmet. Im IPv6 Internet sind die Backbone Router mit effizienten hierarchischen Adressierungs- und Routingmethoden ausgestattet, wodurch die Routing-Tabellen verkleinert werden.

IPv6 unterstützt Adresskonfiguration via DHCP, aber auch die automatische Konfiguration in Abwesenheit eines DHCP-Servers. Die Unterstützung von IPSec ist Voraussetzung für eine IPv6-Protokoll-Suite. Hierdurch gibt es eine standardisierte Lösung für benötigte Netzwerksicherheit und Interoperabilität zwischen verschiedenen IPv6-Implementierungen. Neue Felder im IPv6-Header bestimmen, wie Verkehr identifiziert und verarbeitet wird.

Die Identifikation des Verkehrs über ein Fluss-Label-Feld im IPv6-Header ermöglicht Routern die besondere Behandlung eines Paketes innerhalb eines Flusses (ein Fluss ist hierbei eine Folge von Pakete, die zwischen Quelle und Ziel). Da der Verkehr über den IPv6-Header identifiziert werden kann, selbst wenn er verschlüsselt ist, lässt sich QoS einfach gewährleisten.

Das neue Neighbor Discovery Protocol für die Interaktion benachbarter Knoten mit IPv6 besteht aus einer Reihe von Nachrichten über das Internet Control Message Protocol für IPv6 (ICMPv6). Neighbor Discovery ersetzt ARP (Address Resolution Protocol), ICMPv4 Router Discovery, und ICMPv4-Redirect-Nachrichten mit effizienten Multi- und Unicast-Benachrichtigungen.

IPv6 kann für neue Funktionen erweitert werden, indem Erweiterungsheader nach dem IPv6-Header hinzugefügt werden. Im Gegensatz zum IPv4-Header, der maximal 40 Bytes an Optionen unterstützt, ist die Größe von IPv6-Erweiterungsheadern lediglich durch die Gesamtgröße des IPv6-Pakets beschränkt. In der folgenden Tabelle werden die Schlüsselmerkmale von IPv4 und IPv6 miteinander verglichen.

Vergleich von Merkmalen in IPv4 und IPv6

IPv4 IPv6

Quell- und Zieladresse haben jeweils eine Länge von 32 Bits (4 Bytes).

Quell- und Zieladresse haben jeweils eine Länge von 128 Bits (16 Bytes).

IPSec-Unterstützung ist optional. IPSec-Unterstützung wird vorausgesetzt.

Keine Identifikation für QoS-Verarbeitung durch den Router im IPv4-Header.

Identifikation für QoS-Verarbeitung durch den Router im Fluss-Label-Feld des IPv6-Headers.

Fragmentierung durch Router und Absender. Keine Fragmentierung durch Router.

Prüfsumme im Header. Keine Prüfsumme im Header.

Optionen im Header. Optionen nur über die IPv6-Erweiterungsheader.

ARP löst IPv4-Adressen über Broadcast auf. ARP wird durch Multicast-Benachrichtigungen durch das Neighbor Discovery Protocol ersetzt.

IGMP wird für die Verwaltung lokaler Subnetzzugehörigkeiten verwendet.

IGMP wird durch MLD-Benachrichtigungen (Multicast Listener Discovery) ersetzt.

ICMP Router Discovery wird für die Bestimmung der IPv4-Adresse des besten Standardgateways benutzt und ist optional.

ICMP Router Discovery wird durch ICMPv6 Router Solicitation und Router-Advertisement-Benachrichtigungen ersetzt und ist Voraussetzung.

Broadcast-Adressen werden für die Zustellung von Nachrichten an alle Knoten eines Subnetzes verwendet.

Es gibt keine IPv6-Broadcast-Adressen. Stattdessen wird eine Multicast-Adresse für alle Knoten im lokalen Subnetz verwendet.

Manuelle Konfiguration oder per DHCP. Keine Konfiguration per Hand oder DHCP nötig.

Nutzt die Host-Adressen-Ressourcen-Einträge (A) im Domain Name System (DNS), um Hostnamen auf Ipv4-Adressen abzubilden.

Nutzt die Host-Adressen-Ressourcen-Einträge (AAAA) im Domain Name System (DNS), um Hostnamen auf Ipv6-Adressen abzubilden.

Nutzt Zeiger-Ressourcen-Einträge (PTR) in der IN-ADDR.ARPA-DNS-Domäne, um IPv4-Adressen auf Hostnamen abzubilden.

Nutzt Zeiger-Ressourcen-Einträge (PTR) in der IP6.INT-DNS-Domäne, um IPv6-Adressen auf Hostnamen abzubilden.

Unterstützung für eine Paketgröße von 576 Bytes erforderlich (möglicherweise fragmentiert).

Unterstützung für eine Paketgröße von 1280 Bytes erforderlich (ohne Fragmentierung).

Weitere Informationen zu IPv6 finden Sie auf der Microsoft Web Site unter:

www.microsoft.com/windowsserver2003/technologies/ipv6/

Überblick

In Netzwerken ohne native IPv6-Unterstützung wird der IPv6 Verkehr übertragen, indem die IPv6-Pakete mit IPv4-Headern versehen werden. Eines dieser Verfahren ist das 6to4-Tunneling.

Weitere Informationen zum 6to4-Tunneling finden Sie in „Connection of IPv6 Domains via IPv4 Clouds“ im RFC 3056 auf der IETF-Web-Site:

www.ietf.org/rfc/rfc3056.txt?number=3056/



Obwohl es Unterschiede zwischen den Protokollversionen IPv4 und IPv6 gibt, steht einem gemeinsamen Einsatz in einem IPv4-Netz nichts im Wege.

Sollte keine native IPv6-Kommunikation vorhanden sein, wird während des Startvorgangs eine DNS Anfrage für Netzwerk-Router mit IPv6-Unterstützung gestellt. Standardmäßig wird diese Anfrage momentan an „6to4.ipv6.microsoft.com“ gestellt und mit einer IPv4-Anycast-Adresse beantwortet. (Eine Anycast-Adresse ist eine Adresse, die mehrere Knoten und Schnittstellen repräsentiert.) Mit der Bereitstellung neuer Router, die IPv6 unterstützen, wird diese Adresse noch mehr Computern verschiedener Internetdienste-Anbietern (ISPs) zugewiesen.

Sollte die DNS Anfrage mehrere Adressen zurückgeben, sucht sich der Host einen passenden Router indem er jedem ein IPv6-Paket schickt und sich für denjenigen entscheidet, der als Erster antwortet.

Anmerkung 6to4-Tunneling wird aktiviert, sobald eine öffentliche IPv4-Adresse im Netzwerk vorhanden ist und IPv6 nicht nativ unterstützt wird.

Der Einsatz von IPv6 unter Microsoft Windows XP Professional Service Pack 1 (SP1) wird momentan nur unterstützt, wenn IPv4 installiert ist.

Sicherheitsinformationen für IPv6

TCP/IP-Netzwerke sind für eine Reihe von Angriffen anfällig, über passive Angriffe (wie Abhören) oder aktive Angriffe (wie Denial-of-Service-Angriffe). Weiterführende Informationen über Sicherheitsgrundlagen in IP, besonders in einer großen Organisation finden Sie in „Best Practices for Enterprise Security“ auf der Microsoft Web Site unter:

www.microsoft.com/technet/security/bestprac/bpent/bpentsec.asp

http://www.microsoft.com/technet/security/bestprac/bpent/bpentsec.asp

http://www.ietf.org/rfc/rfc3056.txt?number=3056/

http://www.microsoft.com/windowsserver2003/technologies/ipv6/


Sie können ein- und ausgehenden IPv6-Verkehr verhindern, indem Sie ihre Firewall für das Sperren sämtlicher IPv6-Pakete sperren. Kommt bei Ihnen 6to4-Tunneling zum Einsatz, können Sie mit Hilfe Ihrer Firewall alle IPv4-Pakete sperren, die die IPv6-Bestimmung 41 im Protokollfeld des IPv4-Headers tragen.

Die Standardeinstellungen für Mitglieder der Gruppe Anwender auf einem Computer verbieten die Installation von Netzwerkprotokollen. Sie sollten dieses Recht auf wenige Anwender mit administrativen Privilegien beschränken.

Sie können die erforderlichen Rechte zur Installation von Netzwerkprotokollen mit Hilfe von Active Directory und Gruppenrichtlinien steuern, oder aber bereits bestehende Netzwerkkonfigurationen ändern. Weiter Informationen hierzu finden Sie in der Windows-Hilfe (Stichwort „Gruppenrichtlinien“ im Index). Für die (De-)Installation von IPv6 lesen Sie den nächsten Abschnitt.

Verfahren für die Konfiguration von IPv6

Die (De-)Installation des IPv6-Protokollstapels erfolgt über den Ordner Netzwerkverbindungen oder die Kommandozeile.

Die folgenden Verfahren beschreiben die Installation und Deinstallation von IPv6 über den Ordner Netzwerkverbindungen.

Installation über Netzwerkverbindungen1. Öffnen Sie Start\Netzwerkverbindungen.

2. Rufen Sie mit einem Rechtsklick die Eigenschaften einer LAN-Verbindung.

3. Klicken Sie Installieren.

4. Im Fenster Netzwerkkomponente auswählen klicken Sie Protokoll und dann Hinzufügen.

5. Im Fenster Netzwerkprotokoll wählen klicken Sie auf Microsoft TCP/IP Version 6.

6. Klicken Sie Schließen, um die Änderungen für die Netzwerkverbindung zu speichern.

Deinstallation über Netzwerkverbindungen1. Öffnen Sie Start\Netzwerkverbindungen.

2. Rufen Sie mit einem Rechtsklick die Eigenschaften einer LAN-Verbindung.

3. Klicken Sie in der Liste der installierten Komponenten auf Microsoft TCP/IP Version 6 und dann auf Deinstallieren.

4. Im Dialog Microsoft TCP/IP Version 6 Deinstallieren klicken Sie auf Ja..

5. Klicken Sie Schließen, um die Änderungen für die Netzwerkverbindung zu speichern.

Die folgenden Verfahren beschreiben die Installation und Deinstallation von IPv6 über die Kommandozeile.

Installation über die Kommandozeile1. Öffnen Sie die Kommandozeile.

2. In der Kommandozeile geben Sie ipv6 install ein und drücken dann die Eingabetaste.

Deinstallation über die Kommandozeile1. Öffnen Sie die Kommandozeile.

2. In der Kommandozeile geben Sie ipv6 uninstall ein und drücken dann die Eingabetaste.

Anmerkung Die Kommandozeile öffnen Sie, indem Sie unter Start\Ausführen „cmd“ (ohne die Anführungsstriche) eingeben.

Für die Konfiguration von IPv6 benötigen Sie administrative Privilegien.

IPv6: Überwachung und Fehlersuche

Verwenden Sie den IP-Kommandozeilen-Befehl, um sämtliche IP-Konfigurationen Ihres Computers aufzurufen.

IP-Konfigurationen 1. Öffnen Sie die Kommandozeile.

2. In der Kommandozeile geben Sie ipconfig /all ein und drücken dann die Eingabetaste.

Routing-Tabelle1. Öffnen Sie die Kommandozeile.

2. In der Kommandozeile geben Sie route print ein und drücken dann die Eingabetaste.

Anmerkung Weitere Informationen über TCP/IP-Konfigurationen finden Sie in der Windows-Hilfe.

Installationsfehlermeldung

Die Installation des IPv6 Protokollstapels erfordert administrative Privilegien. Sollten Sie die Installation des Protokollstapels ohne administrative Privilegien durchführen, wird die „Zugriff verweigert“ Fehlermeldung (0x800700005) ausgegeben.

Verwandte Themen

Informationsquellen im Web

Weiterführende Informationen zum 6to4-Tunneling finden Sie in „Connection of IPv6 Domains via IPv4 Clouds“ im RFC 3056 auf der IETF Web-Site unter:



Weitere Informationen zu IPv6 finden Sie auf der Microsoft Web Site unter:

www.microsoft.com/windowsserver2003/technologies/ipv6/

Weiterführende Informationen über Sicherheitsgrundlagen in IP, besonders in einer großen Organisation finden Sie in „Best Practices for Enterprise Security“ auf der Microsoft Web Site unter:

www.microsoft.com/technet/security/bestprac/bpent/bpentsec.asp

http://www.microsoft.com/technet/security/bestprac/bpent/bpentsec.asp

http://www.microsoft.com/windowsserver2003/technologies/ipv6/


Weitere Informationen zur IPv6 Adressierung finden Sie in „IPv6 Addressing Architecture“ im RFC 2373 auf der IETF Web-Site unter:



Die neuesten RFCs und Entwürfe zur Koexistenz von IPv6/IPv4 finden Sie unter:

www.ietf.org/html.charters/ngtrans-charter.html


Gedruckte Referenzen:

Weiterführende Informationen zum IPv6 Protokollstapel finden Sie in folgenden Büchern (in englischer Sprache):

Davies, J. Understanding IPv6. Redmond, WA: Microsoft Press, 2002.

Huitema, C. IPv6: The New Internet Protocol. Second edition. Upper Saddle River, NJ: Prentice Hall, 1998.

Miller, M. Implementing IPv6: Supporting the Next Generation of Protocols. Second edition. Foster City, CA: M&T Books, 2000.

http://www.ietf.org/html.charters/ngtrans-charter.html


MSN ExplorerDieser Abschnitt enthält Angaben zu folgenden Themen:

Die Vorzüge des MSN Explorers

Wie der MSN Explorer mit dem Internet kommuniziert

Wie Sie die Kommunikation des MSN Explorers mit dem Internet steuern

Vorteile und Nutzen

Der MSN Explorer verbindet den Anwender mit dem Gratisangebot der MSN.com-Web-Site. Über diese Seite erhält der Anwender Zugriff auf alle MSN-Dienste. Die MSN.com-Web-Site ist ein Internet-Verbindungsdienst, der eine Vielzahl an interessanten Informationen und Diensten bereitstellt; gleichzeitig handelt es sich um ein Portal zum World Wide Web.

Überblick

Der MSN Explorer ist eine optionale Komponente von Microsoft Windows XP Professional Service Pack 1 (SP1) und steht dem Anwender nach erfolgreicher Anmeldung durch den MSN-Explorer-Assistenten zur Verfügung. Sobald der Anwender ein Konto bei MSN.com eingerichtet hat, erhält er Zugriff auf seine E-Mails, Online-Kontakte, Online-Musik- und –Video-Inhalte, sowie das Internet. Der MSN Explorer enthält die Vorzüge beliebter Internet-Technologien wie Hotmail, dem Internet Explorer, Windows Messenger und Windows Media Player in einem Programm, das mit bestehenden Internetverbindungen arbeiten kann. In einer verwalteten Umgebung kann der uneingeschränkte Zugriff auf diese Technologien unter Umständen ein Sicherheitsrisiko in sich bergen. Daher können Sie den MSN Explorer während der Installation der Windows-Komponenten entfernen, wie weiter unten in diesem Abschnitt beschrieben.


Der MSN Explorer ist ein Web-Browser, der eine Internetverbindung erstellen, das Web durchsuchen, per Instant Messaging oder E-Mail-Kommunizieren, Musik abspielen und die Termine und Finanzen eines Anwenders online verwalten kann.

Sie starten den MSN Explorer unter Start\Programme\MSN Explorer. Bei der ersten Verwendung öffnet sich ein Dialog, der den Anwender fragt, ob er sich mit dem Internet verbinden und E-Mails schreiben möchte. Antwortet der Anwender mit „Ja“ wir der MSN-Explorer-Assistent gestartet, der den Anwender durch den Anmeldeprozess begleitet. Anwender haben die Wahl, ob sie sich über eine MSN DFÜ-Verbindung, eine bestehende Internetverbindung oder eine LAN-Verbindung anmelden wollen. Danach werden sie nach einem bestehenden Hotmail Konto gefragt, oder können ein neues erstellen. Wird ein neues Konto erstellt fragt der Assistent nach persönlichen Angaben wie Geburtsdatum und Beschäftigung. Danach geben Anwender ihr Kennwort ein und erhalten ihren Benutzernamen. Jeder folgende Aufruf des MSN Explorers bringt den Anwender dann automatisch auf die MSN.com Web-Site.

In diesem Abschnitt werde verschiedene Aspekte des Datenaustauschs mit dem Internet beschrieben und wie der Informationsaustausch von statten geht.

Die Übermittlung eindeutiger Informationen: MSN erfragt persönliche Angaben wie E-Mail-Adresse, Name, Anschrift und Telefonnummer. MSN sammelt auch demographische Informationen, wie Alter, Geschlecht, Interessen und Vorlieben. Zusätzlich werden Informationen über die Computerhardware und -software gesammelt. Hierzu zählen IP-Adresse, Browsertyp, Domänennamen, Zugangszeit und Adressen von Web-Sites. MSN greift auf den .NET Passport für die Anmeldung zurück. Alle Angaben, die der Anwender während der Anmeldung macht,

werden von MSN gespeichert und einige – oder alle – dieser Angaben werden auch von .NET Passport gespeichert.

Standardziel: MSN.com ist die Ziel-Web-Site.

Auslöser: Der Anwender entscheidet sich für einen Besuch bei MSN.com, indem er auf das MSN Explorer Icon klickt.

Protokollierung: Alle gesammelten Informationen wird von MSB, .NET Passport oder beiden gespeichert.

Zugriff: MSN und seine Dienstleistungspartner nutzen die gesammelten Informationen für den effektiven Betrieb, und die persönlichen Informationen, um dem Anwender die Inhalte zu bieten, die er verlangt. Einige Angaben werden für die Qualitätsüberwachung und AutoUpdate an MSN Server geschickt. Weiterführende Informationen zur Weiterverwendung der Angaben finden Sie in der MSN Datenschutzrichtlinie unter privacy.msn.com/.

Datenschutzrichtlinie: Es gibt eine Datenschutzrichtlinie für den MSN Explorer. Auch für das MSN existiert eine Datenschutzrichtlinie, die für die Microsoft MSN Web-Sites Familie gilt und Aufbewahrung und Nutzung der gesammelten Daten regelt.

Übertragungsprotokoll und -port: Das Übertragungsprotokoll ist HTTP über Anschluss 80.

Möglichkeit der Deaktivierung: Der MSN Explorer kann während der Installation entfernt werden wie in „Verfahren zur Konfiguration des MSN Explorer“ weiter unten in diesem Abschnitt beschrieben.


Der MSN Explorer kann während einer unbeaufsichtigten Installation mit einer Antwortdatei optional deaktiviert werden. Ein Administrator kann die Verwendung des MSN Explorer mit Gruppenrichtlinien auch nach dessen Installation verhindern. Normalerweise werden Administratoren in ihrem lokalen Netzwerk Firewalls und NAT (Network Address Translation) einsetzen. Damit können sie an der Firewall oder dem Gateway-Server den Zugang den direkten Zugang zu MSN.com in Übereinstimmung mit den Sicherheitsrichtlinien der Organisation sperren. Nachfolgend werden Verfahren für die Konfiguration des MSN Explorer zur Begrenzung des Informationsaustausches mit dem Internet mit Hilfe von Gruppenrichtlinien oder einer unbeaufsichtigten Installation mit einer Antwortdatei.

Konfiguration

Der MSN Explorer kann auf verschieden Weise konfiguriert werden, wie zuvor beschrieben. In diesem Abschnitt werden die Verfahren zur Deaktivierung des MSN Explorer beschrieben.

Es folgen zwei Verfahren zu Deaktivierung des MSN Explorers:

Wie den MSN Explorer während einer unbeaufsichtigten Installation von Windows XP SP1 mit Hilfe einer Antwortdatei deaktivieren.

Wie Sie die Verwendung des MSN Explorer mit Gruppenrichtlinien auch nach dessen Installation verhindern.

Unbeaufsichtigte Installation mit Antwortdatei1. Erstellen Sie eine Antwortdatei für Ihre bevorzugte Art der Installation (unbeaufsichtigt oder RIS).

Weitere Informationen zur unbeaufsichtigten Installation oder zur Installation mit Hilfe von RIS finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“. Nutzen Sie dieses Verfahren nicht, wenn Sie als Antwortdatei Winbom.ini oder Unattend.txt einsetzen.


http://privacy.msn.com/

Msnexplr = Off

Anmerkung Setzen Sie den Eintrag Msnexplr nicht im Abschnitt [Components] einer Winbom.ini oder Unattend.txt auf „No“.

Sie können auch anhand eines Registrierungsschlüssels prüfen (manuell oder per Skript), ob der MSN Explorer installiert ist. Ändern Sie diesen Schlüssel auf keinen Fall. Ein Schlüsselwert von 0x00000000 bedeutet, dass die Komponente nicht installiert ist; bei einem Wert von 0x00000001 ist sie installiert. Der Schlüssel lautet wie folgt: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\OC Manager\Subcomponents\msnexplr

Gruppenrichtlinieneinstellungen1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um


2. Öffnen Sie Benutzerkonfiguration\Administrative Vorlagen\System.

Anmerkung Es gibt keine direkte Möglichkeit die Nutzung von MSN Explorer zu verhindern, allerdings können Sie ihn zu einer Liste von gesperrten Anwendungen hinzufügen, wie in den weiteren Arbeitsschritten dieses Verfahrens beschrieben.

3. Im Detailbereich öffnen Sie Angegebene Windows-Anwendungen nicht ausführen.

4. Wählen Sie Aktiviert, klicken Sie auf Anzeigen, dann auf Hinzufügen und geben Sie den Namen der ausführbaren Datei ein (msn6.exe).

NetMeetingDieser Abschnitt enthält Angaben zu folgenden Themen:

Die Vorzüge von NetMeeting

Der Einsatz von NetMeeting in einer verwalteten Umgebung

Wie NetMeeting mit dem Internet kommuniziert

Wie Sie die Kommunikation von NetMeeting mit dem Internet steuern

Vorteile und Nutzen

Die NetMeeting®-Konferenzsoftware ist ein Feature von Windows XP Professional Service Pack 1 (SP1), dass Ihnen Echtzeitkommunikation und Zusammenarbeit über ein Intranet oder das Internet ermöglicht. Anwender können sich von Computern mit Windows 95, Windows 98, Windows NT 4.0, Windows 2000, oder Windows XP als Betriebssystem mit Hilfe von Echtzeit-Übertragungs-Technologien für Bild und Ton miteinander kommunizieren. Anwender können praktisch innerhalb jeder Windows-basierten Anwendung zusammenarbeiten, Graphiken über ein elektronisches Whiteboard austauschen, Dateien übertragen oder ein Chat-Programm verwenden.

NetMeeting unterstützt kleine wie große Organisationen bei der Nutzung ihres Intranets für Echtzeitkommunikation und Zusammenarbeit. Auch die Verbindung zu anderen NetMeeting Nutzern über das Internet ist mit dem Internet Locator Service (ILS) ein Leichtes und ermöglicht es Anwendern einander über ein dynamisches Verzeichnis oder eine Web-Site anzurufen. Zu den neuen Merkmalen gehört die Freigabe des Remotedesktops, virtuelle Konferenzen mit Microsoft Outlook, neue Sicherheitsmerkmale und die Möglichkeit der Einbettung der Benutzeroberfläche in die Web-Sites der Organisation.

Weitere Informationen zu den NetMeeting Leistungsmerkmalen finden Sie in diesem Artikel auf der Microsoft TechNet Web-Site unter:

www.microsoft.com/technet/prodtechnol/netmting/evaluate/nm3feats.asp

Überblick

NetMeeting unterstützt Kommunikationsstandards für Audio-, Video- und Datenkonferenzen. Anwender von NetMeeting können mit Anwendern anderer, standardbasierter Produkte kommunizieren. Sie können eine Verbindung über Modem, ISDN oder LAN über TCP/IP herstellen. Zusätzlich können Administratoren Dank der Unterstützung von Gruppenrichtlinien für NetMeeting, die Arbeitsumgebung zentral steuern und verwalten.

Sie können NetMeeting gemäß Ihrer Sicherheitsrichtlinien über Active Directory und Gruppenrichtlinien konfigurieren. Auch können Sie die Konfiguration mit Hilfe des NetMeeting Resource Kits vornehmen. Weitere Informationen hierzu finden Sie in „Alternative Methoden zur Steuerung von NetMeeting“.

NetMeetings Komponenten verlangen die Öffnung einiger Anschlüsse in Ihrer Firewall. Informationen hierzu finden Sie im Abschnitt „NetMeeting und Firewalls“.


NetMeeting stellt eine Infrastruktur für die Kommunikation zwischen Netzwerkanwendungen und –diensten bereit. Innerhalb dieser Infrastruktur ist NetMeeting sowohl Anwendung, als auch Plattform für andere Anwendungen oder Dienste. Die Komponenten und Dienste von NetMeeting stellen

http://www.microsoft.com/technet/prodtechnol/netmting/evaluate/nm3feats.asp

Echtzeitkommunikation und Zusammenarbeit über das Intranet einer Organisation oder das Internet bereit.

NetMeetings Features für Audio- und Videokonferenzen basieren auf der H.323-Infrastruktur, wodurch NetMeeting die Kommunikation mit anderen auf dem H.323-Standard basierenden Produkten ermöglicht wird. (H.323 ist ein von der ITU (International Telecommunication Union) verabschiedeter Standard, der die Übertragung von Daten für audio-visuelle Konferenzen regelt.) Die Features für Datenkonferenzen in NetMeeting basieren auf der T.120-Infrastruktur, wodurch NetMeeting die Kommunikation mit anderen auf dem T.120-Standard basierenden Produkten ermöglicht wird. (Der T.120-Standard ist eine Sammlung von Kommunikations- und Anwendungsprotokollen für parallele Echtzeit-Datenverbindungen und Konferenzen.)

Detaillierte Informationen zu den Standards H.323 und T.120 gehen über den Umfang dieses Whitepapers hinaus. Weitere Informationen finden Sie auf den folgenden Seiten:

Weitere Informationen zum H.323-Standard und NetMeeting, finden Sie in „Understanding the H.323 Standard" unter:

www.microsoft.com/technet/prodtechnol/netmting/reskit/netmtg3/part3/chaptr11.asp

Weitere Informationen zur H.323-Spezifikation finden Sie auf den folgenden Web-Sites:

www.itu.int/home/index.html

www.imtc.org/h323.htm


Mehr zum T.120-Standard und NetMeeting finden Sie in „Understanding the T.120 Standard“ unter:

www.microsoft.com/technet/prodtechnol/netmting/reskit/netmtg3/part3/chaptr10.asp

Weitere Informationen zur T.120-Architektur finden Sie auf der Web-Site der IMTC (International Multimedia Teleconferencing Consortium):

www.imtc.org/


Anschluss-Belegungen in NetMeeting

Sobald Sie andere Anwender mit NetMeeting über das Internet anrufen, werden einige TCP Anschlüsse für die ausgehende Verbindung benötigt. In der folgenden Tabelle werden die Portnummern, deren Funktionen und die resultierende Verbindung aufgeführt.

Anschluss-Belegungen in NetMeeting

Anschluss Funktion Ausgehende Verbindung

389 Internet Locator Service (ILS) TCP

522 User Locator Service (ULS) TCP

1503 T.120 TCP

1720 H.323 Anrufeinstellungen TCP

1731 Audioanrufsteuerung TCP

1024 bis 65535 (dynamisch)

H.323 Anrufsteuerung TCP

1024 bis 65535 (dynamisch)

H.323 Streaming RTP (Real-Time Transfer Protocol) über UDP (User Datagram Protocol)

http://www.imtc.org/

http://www.microsoft.com/technet/prodtechnol/netmting/reskit/netmtg3/part3/chaptr10.asp

http://www.imtc.org/h323.htm


http://www.microsoft.com/technet/prodtechnol/netmting/reskit/netmtg3/part3/chaptr11.asp

Weitere Informationen zu NetMeetings Kommunikations-Anschlüsse und Firewall-Einstellungen finden Sie in „Firewall Configuration“ auf der Microsoft Web Site unter:

www.microsoft.com/technet/prodtechnol/netmting/reskit/netmtg3/part2/chapter4.asp


Sie können NetMeeting mit Hilfe von Gruppenrichtlinienobjekten auf Windows 2000 Servern konfigurieren. (Sie können die Konfiguration auch mit dem NetMeeting Resource Kit vornehmen, wie in „Alternative Methoden zu Steuerung von NetMeeting“.)

Diese Abschnitte behandeln folgende Themen:

NetMeeting und Gruppenrichtlinien

NetMeeting Sicherheit

NetMeeting und Firewalls

Eine NetMeeting Verbindung durch eine Firewall konfigurieren

Firewall-Beschränkungen für NetMeeting

NetMeeting und Gruppenrichtlinien

Die Standardeinstellungen von NetMeeting können mit Hilfe von Gruppenrichtlinien für Anwender und Computer festgelegt werden. Diese Einstellungen legen fest, welche Bestandteile und Funktionen von NetMeeting einzelnen Anwendern zur Verfügung stehen. Die für NetMeeting relevanten Gruppenrichtlinien lassen sich in zwei Kategorien aufteilen. Dank dieser Aufteilung können Sie die Einstellungen von NetMeeting für Computer und Anwender unabhängig voneinander verwalten können. Durch den Einsatz von Gruppenrichtlinien können Sie NetMeetings Funktionen aktivieren, deaktivieren oder konfigurieren.

Zusätzliche Informationen über Gruppenrichtlinien finden Sie in folgenden Anhängen dieses Whitepapers:

Anhang B: Informationsquellen für den Einsatz von Gruppenrichtlinien

Anhang C: Import von Gruppenrichtlinieneinstellungen für Windows XP auf einem Server mit Windows 2000 SP3

Folgende von NetMeetings Konfigurationseinstellungen können mit Hilfe von Gruppenrichtlinien in Ihrer Organisation verwaltet werden:

NetMeeting Gruppenrichtlinieneinstellungen für Computer

NetMeeting Gruppenrichtlinieneinstellungen für Anwender

Konfiguration mit Hilfe von Gruppenrichtlinien

Sie können den Funktionsumfang von NetMeeting festlegen, der allen Benutzern auf den Computern, die durch die Gruppenrichtlinie erreicht werden, zur Verfügung gestellt wird.

Wie Sie Gruppenrichtlinienobjekte für NetMeeting finden erfahren Sie in „Verfahren für die Konfiguration von NetMeeting“. Die NetMeeting Gruppenrichtlinieneinstellung für Computer lautet:

Remotedesktop-Freigabe deaktivieren: Sie können die Remotedesktop-Freigabe in NetMeeting für alle Anwender der von der Gruppenrichtlinie erreichten Computer konfigurieren.

Weitere Informationen hierzu finden Sie in „NetMeetings Remotedesktop-Freigabe mit Hilfe von Gruppenrichtlinien verwalten“.

http://www.microsoft.com/technet/prodtechnol/netmting/reskit/netmtg3/part2/chapter4.asp

Anmerkung Computerrichtlinieneinstellungen werden während des Startvorgangs des Betriebsystems und nach Ablauf des Aktualisierungszyklusses eingelesen.

Konfigurationseinstellungen für NetMeeting

Sie können den Funktionsumfang von NetMeeting für Anwender oder Gruppen von Benutzern mit Hilfe von Grupperichtlinien festlegen.

Diese Konfigurationsoptionen beinhalten die Richtlinieneinstellungen für NetMeeting, Anwendungsfreigabe, Audio und Video, sowie die Optionsseite.

Weitere Informationen zu diesem Thema finden Sie in „Erweiterte Anrufoptionen“ und „Chat-Funktion“.

Es folgen die benutzerspezifischen Gruppenrichtlinieneinstellungen für NetMeeting:

Benutzerkonfigurationseinstellungen

Wie Sie Gruppenrichtlinienobjekte für NetMeeting finden erfahren Sie in „Verfahren für die Konfiguration von NetMeeting“. Die NetMeeting Gruppenrichtlinieneinstellungen für Anwender lauten:

Automatische Konfiguration aktivieren: Konfiguriert NetMeeting, so dass die Einstellungen bei jedem Start von NetMeeting übertragen werden.

Verzeichnisdienste deaktivieren: Deaktiviert die Verzeichnisfunktion von NetMeeting. Anwender können sich nicht beim NetMeeting-Start am Verzeichnisserver (ILS) anmelden. Zusätzlich werden den Benutzern NetMeeting-Verzeichnisse nicht angezeigt, und sie können andere nicht mithilfe eines Verzeichnisses anrufen.

Hinzufügen von Verzeichnisservern verhindern: Verhindert, dass Anwender Verzeichnisserver (ILS) der Liste zum Anrufen hinzufügen.

Anzeigen des Webverzeichnisses verhindern: Verhindert, dass Benutzern die Verzeichnisse als Web-Sites in einem Browser angezeigt werden.

Intranetsupport-Web-Site festlegen: Legt den URL fest, den NetMeeting anzeigt, wenn Anwender den Menüeintrag "Onlinesupport" im Menü "?" wählen.

Anrufsicherheitseinstellungen festlegen: Bestimmt den Sicherheitsgrad für aus- und eingehende NetMeeting-Anrufe.

Ändern der Anrufmethode verhindern: Verhindert, dass Anwender die Anrufmethode (direkt oder mit einem Gatekeeperserver) ändern.

Automatische Anrufannahme verhindern: Verhindert, dass Anwender die automatische Anrufannahme von eingehenden Anrufen aktivieren.

Dauerhafte automatische Anrufannahme erlauben: Setzt die automatische Anrufannahme dauerhaft auf an.

Senden von Dateien verhindern: Verhindert, dass Anwender anderen Teilnehmern während einer Konferenz Dateien senden.

Empfangen von Dateien verhindern: Verhindert, dass Anwender von anderen Teilnehmern während einer Konferenz Dateien empfangen.

Größe der gesendeten Dateien einschränken: Beschränkt die Größe von Dateien, die Anwender anderen Teilnehmern während einer Konferenz senden können.

Chat deaktivieren: Deaktiviert die Chat-Funktion von NetMeeting.

NetMeeting 2.x Whiteboard deaktivieren: Deaktiviert die Funktionen vom 2.x-Whiteboard von NetMeeting. Das 2.x-Whiteboard ist aufgrund von Kompatibilitätsgründen mit älteren NetMeeting-Versionen verfügbar.

Whiteboard Deaktivieren: Deaktiviert die Funktion des T.126-Whiteboards von NetMeeting.

Anwendungsfreigabe

Wie Sie Gruppenrichtlinienobjekte für NetMeeting finden erfahren Sie in „Verfahren für die Konfiguration von NetMeeting“. Die NetMeeting Gruppenrichtlinieneinstellungen für die Anwendungsfreigabe lauten:

Anwendungsfreigabe deaktivieren: Deaktiviert die Anwendungsfreigabefunktion von NetMeeting. Anwender können weder Anwendungen freigeben, noch freigegebene Anwendungen von anderen Teilnehmern einsehen.

Freigabe verhindern: Verhindert, dass Anwender Anwendungen freigeben. Benutzern werden aber weiterhin freigegebene Anwendungen bzw. Desktops von anderen Teilnehmern angezeigt.

Desktopfreigabe verhindern: Verhindert, dass Anwender ihr Desktop freigeben. Anwender können aber weiterhin einzelne Anwendungen freigeben.

Freigabe der Eingabeaufforderung verhindern: Verhindert, dass Anwender die Eingabeaufforderung freigeben. Somit wird verhindert, dass Anwender versehentlich andere Anwendungen freigeben, die mit der Eingabeaufforderung gestartet werden können.

Freigeben von Explorer-Fenstern verhindern: Verhindert, dass Anwender Windows Explorer freigeben. Somit wird verhindert, dass Anwender versehentlich Anwendungen freigeben, die mit Windows Explorer gestartet werden können.

Steuerungsübernahme verhindern: Verhindert, dass Anwender anderen Teilnehmern das Steuern von freigegebenen Anwendungen erlauben. Diese Richtlinie erzwingt einen schreibgeschützten Modus, d.h. andere Teilnehmer können keine Daten in den freigegebenen Anwendungen ändern.

Anwendungsfreigabe in True Color verhindern: Verhindert, dass Anwender Anwendungen in True Color freigeben. Anwendungsfreigabe in True Color erfordert eine höhere Bandbreite in einer Konferenz.

Audio & Video

Wie Sie Gruppenrichtlinienobjekte für NetMeeting finden erfahren Sie in „Verfahren für die Konfiguration von NetMeeting“. Die NetMeeting Gruppenrichtlinieneinstellungen für Video- & Audio-Einstellungen lauten:

Bandbreite für Audio und Video einschränken: Schränkt die Bandbreitenverbrauch von Audio und Video in einer Konferenz ein. Diese Richtlinie ermöglicht NetMeeting die richtigen Formate und Übertragungsraten für den geringsten Bandbreitenverbrauch zu bestimmen.

Audiofunktionen deaktivieren: Deaktiviert die Audiofunktionen von NetMeeting. Anwender können weder Audio senden noch empfangen.

Vollduplexaudio deaktivieren: Deaktiviert den Vollduplexaudiomodus. Anwender können während Audioempfang nicht gleichzeitig sprechen. Der Vollduplexmodus schränkt die Leistung älterer Hardware ein.

Ändern der DirectSound-Audioeinstellungen verhindern: Verhindert, dass Anwender die DirectSound-Audioeinstellungen ändern. DirectSound bietet höhere Audioqualität, allerdings wird DirectSound von älterer Hardware nicht unterstützt.

Senden von Video verhindern: Hindert Anwender, Video zu senden, auch wenn sie über die erforderliche Hardware verfügen. Anwender können weiterhin Video von anderen Teilnehmern empfangen.

Empfangen von Video verhindern: Verhindert, dass Anwender Video empfangen. Anwender können weiterhin Video senden, wenn sie über die erforderliche Hardware verfügen.

Optionsseite

Wie Sie Gruppenrichtlinienobjekte für NetMeeting finden erfahren Sie in „Verfahren für die Konfiguration von NetMeeting“. Die NetMeeting Gruppenrichtlinieneinstellungen für die Optionsseite lauten:

Registerkarte „Allgemein“ ausblenden: Blendet die Registerkarte "Allgemein" im Dialogfeld "Optionen" im Menü "Extras" aus. Anwender können somit die eigenen Verzeichnisinformationen und die Bandbreiteneinstellungen nicht ändern.

Schaltfläche „Erweiterte Anrufoptionen“ deaktivieren: Deaktiviert die Schaltfläche "Erweiterte Anrufoptionen" auf der Registerkarte "Allgemein". Anwender können somit die Anrufoptionen und den zu verwendenden Server nicht ändern.

Registerkarte „Sicherheit“ ausblenden: Blendet die Registerkarte "Sicherheit" im Dialogfeld "Optionen" im Menü "Extras" aus. Anwender können somit die Anrufssicherheits- und die Authentifizierungseinstellungen nicht ändern.

Registerkarte „Audio“ ausblenden: Blendet die Registerkarte "Audio" im Dialogfeld "Optionen" im Menü "Extras" aus. Anwender können somit die Audioeinstellungen nicht ändern.

Registerkarte „Video“ ausblenden: Blendet die Registerkarte "Video" im Dialogfeld "Optionen" im Menü "Extras" aus. Anwender können somit die Videoeinstellungen nicht ändern.

Anmerkung Benutzerrichtlinieneinstellungen werden während der Anmeldung des Benutzers und nach Ablauf des Aktualisierungszyklusses eingelesen.

Für besondere Gruppenrichtlinieneinstellungen für Computer unter Windows XP Professional konsultieren Sie bitte den Spreadsheet „Windows XP Professional Resource Kit, Group Policy Object Settings“ unter:


NetMeeting-Sicherheit

Die NetMeeting-Sicherheitsarchitektur für Datenkonferenzen zieht ihre Vorteile aus den existierenden, Standardkompatiblen Sicherheitsmerkmalen von Windows XP SP1 und dem Microsoft Internet Explorer. Die NetMeeting-Sicherheitsarchitektur greift auf eine 40-Bit-Verschlüsselungstechnologie zurück und beinhaltet folgende Sicherheitsmerkmale:

Kennwortschutz: Dieses Feature ermöglicht Nutzern die Teilnahme an (oder Erstellung von) Sitzungen, für die ein Kennwort erforderlich ist. Kennwortschutz stellt sicher, dass nur autorisierte Anwender an Sitzungen teilnehmen. Auch für die Remotedesktop-Freigabe wird ein Kennwort benötigt.

Benutzerauthentifizierung: Hierdurch wird die Identifizierung eines Anrufers oder Konferenzteilnehmers über ein NetMeeting-Zertifikat ermöglicht.

Datenverschlüsselung: Dieses Feature hilft beim Schutz von während einer Konferenz übertragenen Daten, so dass diese nicht ohne weiteres von Unbefugten gelesen werden können. Die 40-Bit-Datenverschlüsselung gilt für das Whiteboard, die Chatfunktionen, die Anwendungsfreigabe und übertragen Dateien. Audio- und Videodaten werden nicht verschlüsselt.

Die Sicherheitsfunktionen von NetMeeting interagieren mit Windows XP SP1 und dem Internet Explorer folgendermaßen:

NetMeeting nutzt den privaten NetMeeting-Zertifikatsspeicher für persönliche Zertifikate für die Benutzerauthentifizierung und die Datenverschlüsselung.

NetMeeting nutzt den Windows-Zertifikatsspeicher für die NetMeeting-Zertifikate.

NetMeeting nutzt das Crypto-API für sichere Kanäle und Zertifikatsverwaltung. (Das Crypto-API ermöglicht flexible Verschlüsselung oder digitale Signaturen während es Schutz für die privaten Schlüssel bietet.)


NetMeeting nutzt Funktionen des Security Support Provider Interface (SSPI) für die Erstellung und Verarbeitung von Sicherheits-Token.

Diese Sicherheitsfunktionen können von Administratoren oder NetMeeting-Benutzern implementiert werden. Administratoren können mit Hilfe von Gruppenrichtlinien oder dem NetMeeting Resource Kit Assistenten Einstellungen für alle Anwender erzwingen. NetMeeting-Anwender können eigene Sicherheitseinstellungen vornehmen, sofern ein Administrator ihnen dies erlaubt.

Folgende Quellen können Sie für weiterführende Informationen zum Thema NetMeeting Konfiguration und Sicherheit konsultieren:

Informationen zum NetMeeting Resource Kit Assistenten finden Sie unter:


Informationen zur Kerberos-Authentifizierung finden Sie in "The Kerberos Network Authentication Service (V5)" (RFC 1510) auf der IETF Web-Site unter:

www.ietf.org/rfc/rfc1510.txt


Weiterführende Informationen zu Sicherheitsfunktionen in NetMeeting finden Sie unter:


NetMeeting und Firewalls

Sie können Firewall-Komponenten auf verschiedene Weisen konfigurieren, in Übereinstimmung mit den Sicherheitsrichtlinien Ihrer Organisation. Obwohl die meisten Firewalls in der Lage sind, primäre und sekundäre TCP- und UDP-Verbindungen zuzulassen, ist es möglich, dass aufgrund von Sicherheitsabwägungen nur bestimmte Verbindungen zugelassen werden. Beispielsweise erlauben einige Firewalls nur primäre TCP-Verbindungen, die von einigen Experten als die zuverlässigsten angesehen werden.

Für die NetMeeting-Datenkonferenzen – Anwendungsfreigabe, Whiteboard, Chat, Datentransfer und Verzeichnisdienstzugriffe – muss Ihre Firewall lediglich primäre TCP-Verbindungen über zugewiesene Anschlüsse. NetMeetings Audio- und Videofeatures benötigen sekundäre Verbindungen über dynamisch zugewiesene Anschlüsse.

Anmerkung NetMeetings Audio- und Videofeatures benötigen sekundäre Verbindungen über dynamisch zugewiesene Anschlüsse. Sollten Verbindungen über eine Firewall hinweg aufgebaut werden, die lediglich primäre TCP-Verbindungen, können Sie die Audio- und Videofeatures nicht nutzen.

Detaillierte Verfahren zur Konfiguration von Firewalls für NetMeeting würden den Rahmen dieses Whitepapers sprengen. Weitere Informationen finden Sie in „Establishing a NetMeeting Connection with a Firewall“ unter:


Microsoft NetMeeting kann für den Einsatz mit der bestehenden Firewall-Sicherheit Ihrer Organisation konfiguriert werden. Durch Einschränkungen in den häufigsten Firewall-Technologien können nur wenige dieser Produkte für den sicheren Transport von NetMeeting Anrufen, die Video, Audio oder Daten enthalten, konfiguriert werden. Sie sollten die Sicherheitsrisiken einer Öffnung Ihrer Firewall für die Nutzung mit NetMeeting vorsichtig abwägen.

Einige Organisationen haben Bedenken, inwiefern sie NetMeeting in ihrer Firewall unterstützen. Diese Überlegungen gehen häufig einher mit Netzwerkkapazitätsplanungen oder Schwächen in der eingesetzten Firewall-Technologie. Beispielsweise könnten Sicherheitsüberlegungen eine Organisation davon abhalten, UDP-Datenströme durch ihre Firewall zu lassen. Da diese UDP Datenströme für die Video- und Audiofeatures erforderlich sind, wären diese Features bei gesperrter





Firewall ausgeschaltet. Die übrigen Features von NetMeeting können genutzt werden, weil sie TCP-Verbindungen über Anschlüsse 522 und 1503 bereitstellen.

Weitere Informationen zur NetMeeting Firewall Security finden Sie in „Security and Policy Concerns“ unter:


Verbindungsaufbau

Um mit NetMeeting Anwender über das Internet anrufen zu können, müsse folgende TCP Anschlüsse in der Firewall geöffnet sein:

TCP Anschlüsse 389, 522, 1503, 1720, and 1731

TCP und UDP Anschlüsse (1024 bis 65535)

Außerdem muss die Firewall für diese Funktionsweisen konfiguriert sein:

Primäre TCP-Verbindungen über die Anschlüsse 389, 522, 1503, 1720, und 1731.

Sekundäre TCP und UDP-Verbindungen über dynamisch zugewiesene Anschlüsse (1024 bis 65535).

Das H.323 Anrufprotokoll handelt dynamisch einen TCP Anschluss für das H.323 Anrufkontrollprotokoll aus. Auch handeln das Audioanrufkontrollprotokoll und das H.323 Anrufaufbauprotokoll die UDP Anschlüsse für das H.323 Streaming-Protokoll, das Real-Time Transfer Protokoll (RTP) dynamisch aus. Für NetMeeting werden zwei UDP Anschlüsse auf jeder Seite der Firewall für Video- und Audio-Streaming, also insgesamt vier Anschlüsse für ein- und ausgehenden Verkehr, dynamisch aus dem zur Verfügung stehenden Anschluss-Bereich ausgehandelt.

Der NetMeeting-Verzeichnisdienst benötigt Anschluss 389 oder 522, je nachdem, welche Art von Server bei Ihnen zum Einsatz kommt. Der Microsoft Internet Locator Service (ILS), der LDAP für NetMeeting unterstützt, benötigt Anschluss 389. Der Microsoft Anwender Location Service (ULS), der für NetMeeting 1.0 entwickelt wurde, kommuniziert über Anschluss 522.

Firewall-Beschränkungen

Einige Firewalls unterstützen keine beliebige Anzahl virtueller interner IP-Adressen, oder können dies nicht dynamisch. Es ist dennoch möglich, ausgehende NetMeeting Verbindungen von Computern innerhalb der Firewall aufzubauen, und die Audio- und Videofeatures von NetMeeting zu nutzen. Anwender von außerhalb der Organisation hingegen können keine eingehenden Verbindungen von außerhalb der Firewall zu Computern innerhalb der Firewall initiieren können. Diese Einschränkung geht normalerweise auf Beschränkungen in der Netzwerkimplementierung der Firewall zurück.

Anmerkung Einige Firewalls können nur mit bestimmten Protokollen, und daher nicht mit TCP-Verbindungen umgehen. Handelt es sich bei Ihrer Firewall, beispielsweise, um einen Web-Proxy-Server ohne generische Verbindungsmanagementkomponente, können Sie NetMeeting nicht durch diese Firewall nutzen.

Nutzen Sie folgende Quellen für weitere Informationen zur Konfiguration von NetMeeting und Firewalls finden Sie auf diesen Web-Sites:

Zu weiteren Informationen über NetMeeting Verbindungen mit einer Firewall lesen Sie „Establishing a NetMeeting Connection with a Firewall“ auf der Microsoft Web Site:


Für weitere Informationen zu NetMeeting und Firewalls lesen Sie „Herstellen von NetMeeting-Verbindungen durch einen Firewall”:

support.microsoft.com/default.aspx?scid=KB;de;Q158623

http://support.microsoft.com/default.aspx?scid=KB;en-us;Q158623




Sie können angepasste Installationsoptionen für bestimmte Anwender oder Gruppen in Ihrer Organisation mit Hilfe des NetMeeting Resource Kit Assistenten erstellen. Zusätzlich können Sie den NetMeeting Resource Kit Assistenten einsetzen, um Anwender- und Computerzugriffsberechtigungen zu steuern, indem Sie angepasste Konfigurationen von Client-Einstellungen erstellen, welche Features Sie zulassen und welche Sie verbieten. Beispielsweise können Sie Video- und Audiozugriff steuern, Datendurchsatzbeschränkungen und Online-Support definieren. Der Resource Kit Assistent hilft Ihnen bei der Erstellung beliebige Konfigurationen für verschiedene Arten von Benutzern und verschieden Ebenen der Sicherheit. So können Sie Bandbreite im Netzwerk einsparen, indem Sie einige Features deaktivieren. Auch können Sie mit dem Resource Kit Assistenten Änderungen an der Registrierung an alle NetMeeting-Anwender verteilen.

Anmerkung Wenn Sie bestimmte Optionen im Resource Kit Assistenten ändern, sollten Sie sich im Klaren darüber sein, dass Sie das NetMeeting-Anwender-Interface verändern könnten. Wenn Sie zum Beispiel Videobenutzung sperren auswählen erscheint das Register Video nicht im NetMeeting-Optionen Dialog,

Zusätzlich gibt es im Resource Kit für NetMeeting einen Abschnitt, der Sie mit detaillierten Informationen über NetMeeting-Probleme, einschließlich Problembeschreibungen, -ursachen und -lösungen.

Weitere Informationen zum NetMeeting 3 Resource Kit finden Sie unter:

www.microsoft.com/technet/prodtechnol/netmting/reskit/netmtg3/nm3dldoc.asp

Konfiguration

NetMeeting wurde entwickelt, um Ihre Unternehmensumgebung signifikant zu verbessern und Anwendern die interne und externe Kommunikation mit anderen NetMeeting-Benutzern zu ermöglichen. Sie können mit Hilfe von Gruppenrichtlinien eine NetMeeting-Featureverwaltung implementieren, die in Einklang mit den Kommunikationsrichtlinien Ihrer Organisation stehen. Beispielsweise möchten Sie Ihren Benutzern die Nutzung der NetMeeting-Chatfunktion nicht gestatten. Mit Active Directory und Gruppenrichtlinien lässt sich dies für alle Computer erreichen, die von der Anwendung der Gruppenrichtlinie betroffen sind.

Eine Auflistung der Gruppenrichtlinieneinstellungen für die Konfiguration von NetMeeting finden Sie im Abschnitt „NetMeeting und Gruppenrichtlinien“.

Verwaltung mit Gruppenrichtlinien

In diesem Abschnitt werden Verfahren für die folgenden Konfigurationsmethoden vorgestellt:

Wo Sie die Grupperichtlinienobjekte für die Netmeeting-Konfigurationseinstellungen finden. Diese Einstellungen wurden in „NetMeeting und Gruppenrichtlinien“ ausführlich vorgestellt.

NetMeetings Remotedesktop-Freigabe per Gruppenrichtlinie deaktivieren.

NetMeetings Erweiterte Anrufoptionen per Gruppenrichtlinie deaktivieren.

NetMeetings Chat-Funktion per Gruppenrichtlinie deaktivieren.

Benutzerkonfigurationseinstellungen 1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um

Gruppenrichtlinien zu konfigurieren, je nachdem ob Sie diese auf eine Organisationseinheit, eine

http://www.microsoft.com/technet/prodtechnol/netmting/reskit/netmtg3/nm3dldoc.asp

Domäne oder einen Standort anwenden wollen. Weitere Informationen zu Gruppenrichtlinien finden Sie in der Windows-Hilfe und in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien.“

2. Öffnen Sie Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\NetMeeting.

3. Informationen zu diesen Objekten finden Sie in „NetMeeting und Gruppenrichtlinien“.

Computerkonfigurationseinstellungen 1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um


2. Öffnen Sie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\NetMeeting.

3. Informationen zu diesen Objekten finden Sie in „NetMeeting und Gruppenrichtlinien“.

Mit den folgenden Schritten konfigurieren Sie die Gruppenrichtlinie, um Anwendern die Nutzung der Remotedesktop-Freigabe zu verbieten:

Remotedesktop-Freigabe 1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um


2. Öffnen Sie Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\NetMeeting.

3. In der Detailansicht öffnen Sie Remotedesktop-Freigabe deaktivieren.

4. Setzen Sie die Einstellung auf „aktiviert“.

Anmerkung Computerrichtlinieneinstellungen werden während des Startvorgangs des Betriebsystems und nach Ablauf des Aktualisierungszyklusses eingelesen.

Mit den folgenden Schritten konfigurieren Sie die Gruppenrichtlinie, um die erweiterten Anrufoptionen zu deaktivieren:

Erweiterte Anrufoptionen1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe, um


2. Öffnen Sie Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\NetMeeting\Optionsseite.

3. Im Detailfenster öffnen Sie Schaltfläche „Erweiterte Anrufoptionen“ deaktivieren und setzen diese Einstellung auf „aktiviert“.

Mit den folgenden Schritten konfigurieren Sie die Gruppenrichtlinie, um Anwendern die Nutzung der Chat-Funktion zu verbieten:

Chat-Funktion 1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um


2. Öffnen Sie Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\NetMeeting.

3. Im Detailfenster öffnen Sie Chat deaktivieren und setzen diese Einstellung auf „aktiviert“.

Anmerkung Benutzerrichtlinieneinstellungen werden während der Anmeldung des Benutzers und nach Ablauf des Aktualisierungszyklusses eingelesen.

Verwandte Themen

Informationsquellen im Web

Für weitere Informationen zu NetMeeting und Firewalls lesen Sie „Herstellen von NetMeeting-Verbindungen durch einen Firewall”:

support.microsoft.com/default.aspx?scid=KB;de;Q158623

Weitere Inforationen zu NetMeeting finden Sie auf der Microsoft Web Site at:

www.microsoft.com/windows/NetMeeting/

Weitere Informationen zur Konfiguration von NetMeeting finden Sie unter:

www.microsoft.com/windows/NetMeeting/Corp/ResKit/

Weitere Informationen zu den NetMeeting Leistungsmerkmalen finden Sie in diesem Artikel auf der Microsoft TechNet Web-Site unter:

www.microsoft.com/technet/prodtechnol/netmting/evaluate/nm3feats.asp

Artikel zu neuen Funktionsmerkmalen von NetMeeting finden Sie unter:

support.microsoft.com/default.aspx?scid=/support/netmeeting/howto/default.asp

Informationen zur Kerberos Authentifizierung finden Sie in "The Kerberos Network Authentication Service (V5)" (RFC 1510) auf der IETF Web-Site unter:

www.ietf.org/rfc/rfc1510.txt

Weitere Informationen zur H.323 Spezifikation finden Sie auf den folgenden Web-Sites:

www.itu.int/home/index.html

Weitere Informationen zur T.120 Architektur finden Sie auf der Web-Site der IMTC (International Multimedia Teleconferencing Consortium):

www.imtc.org/


Gedruckte Informationsquellen

Weitere Informationen über Firewall Design, Richtlinien und Sicherheitsüberlegungen:

Chapman, D. Brent und Elizabeth D. Zwicky. Einrichten von Internet Firewalls. O'Reilly, 2001.

http://www.imtc.org/



http://support.microsoft.com/default.aspx?scid=/support/netmeeting/howto/default.asp

http://www.microsoft.com/technet/prodtechnol/netmting/evaluate/nm3feats.asp



http://support.microsoft.com/default.aspx?scid=KB;en-us;Q158623

Online-GerätehilfeIn diesem Abschnitt werden folgende Themen behandelt:

Die Vorzüge der Online-Gerätehilfe

Wie die Online-Gerätehilfe mit dem Internet kommuniziert

Wie Sie die Kommunikation der Online-Gerätehilfe mit dem Internet steuern

Vorteile und Nutzen

Die Online-Gerätehilfe versorgt Sie mit gezielten Inhalten zu Problemen mit Hardware und Peripheriegeräten auf Ihrem System. Dies verringert die Notwendigkeit für den Anwender, einen Supportmitarbeiter zu Lösung von Hardwareproblemen zu kontaktieren. Anwender greifen auf die Online-Gerätehilfe Microsoft Windows XP Professional Service Pack 1 zu, wenn sie neue Hardware installieren (mit Hilfe des „Neue Hardware gefunden“-Assistenten).

Nach Abschluss des „Neue Hardware gefunden“-Assistenten – falls ein Gerätetreiber benutzt wird, der sich weder über die Windows XP SP1 Installations-CD, noch über Windows-Update beziehen lässt – sammelt die Online-Grätehilfe anonyme Daten für das Problemgerät (einschließlich einer einzigartigen Hardware-ID) und schickt diese an einen Microsoft Server. Gibt es einen Eintrag zu diesem Gerät, wird der Inhalt an das Hilfe- und Supportcenter auf dem System des Anwenders übertragen. Folgende Inhalte könnten angezeigt werden:

Informationen vom unabhängige Hardware Herstellers (Independent Hardware Vendor – IHV) über bevorstehenden Gerätesupport.

Links auf den Produktkompatibilitätsbereich im Hilfe- und Supportcenter, mit deren Hilfe der Anwender die Windows-Katalog-Web-Sites nach kompatiblen Geräten durchsuchen. Den Windows-Katalog finden Sie unter:

www.microsoft.com/windows/catalog/

Einen Link zur Web-Site des IHV.

Die Angaben der Online-Gerätehilfe ermöglichen Microsoft die Identifizierung des Benutzersystems, auf dem Hardwareprobleme aufgrund fehlender Treiber auftreten, und die Identifizierung der Geräte, die häufiger Probleme verursachen. Microsoft arbeitet mit den Herstellern dieser Geräte zusammen, um gezielte Fehlerlösungen anbieten zu können.

Dieser Abschnitt des Whitepapers erläutert, wie Sie die Online-Gerätehilfe in einer verwalteten Umgebung steuern können.

Überblick

Anwender können steuern, ob Sie die von der Online-Gerätehilfe benötigten Daten übermitteln wollen. In einer verwalteten Umgebung ist es jedoch eher unwahrscheinlich, dass Anwender überhaupt Geräte installieren; diese Funktion würde on irgendeiner Form von der IT-Verwaltung übernommen werden. Sie können die Online-Gerätehilfe an einer Firewall oder über das Snap-In Dienste sperren. Die Konfigurationsoptionen zur Steuerung der Online-Gerätehilfe finden Sie weiter unten in diesem Abschnitt.


Wenn auf der Windows XP Installations-CD oder in Windows-Update keine Informationen für ein bestimmtes Gerät gefunden werden kann, wird der Anwender aufgefordert, anonyme Informationen

http://www.microsoft.com/windows/catalog/

über sein Hardwareprofil unter Verwendung der Online-Gerätehilfe zu übermitteln. In diesem Abschnitt wird der Kommunikationsvorgang zusammengefasst:

Die Übermittlung eindeutiger Informationen: Folgende Informationen werden vom Computer des Anwenders an einen Microsoft Server übertragen:

Die Hardware-ID mit Angaben zum Gerätehersteller, Gerätenamen und Version

Datum und Uhrzeit der Übertragung

Sprachcode des Betriebssystems, sowie Angaben zur Plattform und zum Build

Standard- und empfohlene Einstellungen: Die Online-Gerätehilfe ist standardmäßig aktiviert. Empfohlene Einstellungen finden Sie im Abschnitt „Wie Sie die Kommunikation der Online-Gerätehilfe mit dem Internet steuern“.

Auslöser: Die Online-Gerätehilfe wird aufgerufen, wenn keine Informationen über ein neu angeschlossenes Gerät gefunden werden können.

Benachrichtigung des Anwenders: Der Anwender wird aufgefordert, anonyme Daten zu seinem Hardwareprofil an Microsoft zu senden. Entscheidet sich der Anwender für die Übertragung dieser Daten, wird die Datenschutzrichtlinie angezeigt. Anwender können sich den Inhalt der übertragenen Datei hardware.XML über einen Link auf der Datenschutzrichtlinien-Seite anzeigen lassen.

Protokollierung: Probleme bei der Installation von Hardware werden in die Ereignisanzeige geschrieben.

Verschlüsselung: Die Übertragung an Microsoft erfolgt unverschlüsselt.

Zugriff: Die übertragenen Rohdaten können von Betriebsingenieuren von Microsoft.com eingesehen werden und werden in den Windows Hardware Quality Labs (WHQL) benutzt, um Windows-kompatible Treiber zu verbessern.

Datenschutzrichtlinie: Es gibt eine eigene Datenschutzrichtlinie für die Online-Gerätehilfe. Diese Richtlinie (zu finden unter %SystemRoot%\pchealth\helpctr\system\dfs\privacy.htm auf dem Computer des Anwenders) wird vor der Übertragung anonymer Daten an Microsoft angezeigt.

Übertragungsprotokoll und -Anschluss: Die Übertragung erfolgt über HTTP-Anschluss 80.

Möglichkeit der Deaktivierung: Sie können die Online-Gerätehilfe nicht direkt deaktivieren. Eine Sperrung des Internetzugangs oder von HTTP-Anschluss 80 blockiert allerdings die Online-Gerätehilfe.


Anwender können sich gegen das Senden anonymer Angaben zu ihrem Hardwareprofil entscheiden. Sie können die Online-Gerätehilfe nicht direkt deaktivieren. Eine Sperrung des Internetzugangs blockiert allerdings die Online-Gerätehilfe. Für die Sperrung können Sie auch eine Firewall oder das Snap-In Dienste verwenden. Die folgende Tabelle erörtert die Ergebnisse der verschieden Aktionen.

Konfigurationseinstellungen für die Online-Gerätehilfe

Konfigurationstool Einstellung Ergebnis

Firewall Sperren von HTTP-Port80. Blockiert die Online-Gerätehilfe.

Snap-In Dienste Deaktiviert den Upload-Manager-Dienst (uploadmgr).

Blockiert die Online-Gerätehilfe. Alle von uploadmgr abhängigen Dienste werden ebenfalls nicht gestartet.

Auswirkungen

Sollten Sie sich für eine Deaktivierung der Online-Gerätehilfe entscheiden, werden Anwender nicht aufgefordert, anonyme Angaben zu ihrem Hardwareprofil zu senden, und erhalten im Unkehrschluss keine aktuellen Informationen zu diesem Thema im Hilfe- und Supportcenter.

Anmerkung Wenn Sie die Online-Gerätehilfe über den eingeschränkten Internetzugang sperren, werden die Angaben zum Hardwareprofil in eine Warteschlange gestellt, wo die Übermittlung für einen bestimmten Zeitraum immer wieder versucht wird. Sollten Sie während dieses Zeitraums eine Verbindung zum Internet herstellen, übermittelt die Online-Gerätehilfe die Daten. Anwender werden in keinem Fall eingeschränkt.


Eine weitaus drastischere Möglichkeit der Einflussnahme stellt die Deaktivierung des Upload-Manager-Dienstes dar. Der Upload-Manager verwaltet synchrone und asynchrone Datenübertragungen im Netzwerk. Die Deaktivierung dieses Dienstes hat zur Folge, dass die Online-Gerätehilfe keine Informationen zum Hardwareprofil übermittel kann. Dieses Verfahren wird im folgenden Abschnitt erläutert.

Steuerung der Online-Gerätehilfe

Sie können die Online-Gerätehilfe nur indirekt über die Deaktivierung des Upload-Manager-Dienstes von Windows XP sperren.

Deaktivierung des Upload-Manager4. Öffnen Sie Start\Verwaltung\Dienste.

5. Im Detailfenster rufen Sie die Eigenschaften des Upload-Managers auf.

6. Im Register Anmelden wählen Sie das Hardwareprofil, welches Sie konfigurieren wollen, und klicken auf Deaktivieren.

Wichtig Wird dieser Dienst aktiviert, so schlägt der Start sämtlicher abhängiger Dienste fehl.

Outlook Express 6 SP1 In diesem Abschnitt werden folgende Themen behandelt:

Eine Beschreibung von Outlook Express 6 Service Pack 1 (SP1), welches im Microsoft Internet Explorer 6 Service Pack 1 (SP1) enthalten ist, und ein Vergleich zwischen Outlook und Outlook Express

Die Beschreibung neuer sicherheitsrelevanter Eigenschaften in Outlook Express 6 SP1 (im Vergleich zu Outlook Express 5) und deren Konfigurierbarkeit.

Informationen zum Entfernen aller sichtbaren Einstiegspunkte von Outlook Express unter Microsoft Windows XP Professional Service Pack 1 (SP1) (für den Fall, dass ausschließlich ein anderer E-Mail-Client Verwendung findet). Eine Möglichkeit besteht während einer unbeaufsichtigten Installation, eine andere über die Software Einstellungen der Systemsteuerung.

Informationen zur Steuerung von Outlook Express6 SP1 über Gruppenrichtlinien zur Begrenzung des Risikos durch E-Mail-Anhänge. Die Gruppenrichtlinieneinstellung ist Anhänge sperren, die einen Virus enthalten können.

Anmerkung Dieser Abschnitt des Whitepapers beschreibt Outlook Express 6 SP1 und nicht den Internet Explorer 6 (Outlook ist ein Teil des Internet Explorers), den neuen Verbindungsassistenten oder das Tool zum Auswerten der Fehlermeldungen in Outlook Express. Informationen über diese Komponenten befinden sich in den entsprechenden Abschnitten (das Fehlerauswertungstool wird unter „Windows Fehlerberichterstattung“ behandelt).

Außerdem ist anzumerken, dass der neue Verbindungsassistent den Netzwerk-Verbindungsassistenten und den Internet-Verbindungsassistenten in Windows 2000 ersetzt.

Es übersteigt den Rahmen dieses Whitepapers, alle Aspekte der Verwaltung angemessener Sicherheitsstufen in einer Organisation zu beleuchten, in der Anwender E-Mails versenden, empfangen, Anhänge öffnen oder vergleichbare Aktionen durchführen. Dieser Abschnitt beschäftigt sich dennoch mit den Eigenschaften und Konfigurationsmöglichkeiten in Outlook Express 6 SP1, was zur Reduzierung der potentiellen Gefahren beim Senden und Empfangen von E-Mail beitragen kann.

Zusätzliche Informationen über Outlook Express finden sich in den folgenden Quellen:

Die Hilfe von Outlook Express (erreichbar über das Menü Hilfe in dem entsprechende Optionen zur Auswahl stehen)

Der Abschnitt über den Internet Explorer 6 SP1 in diesem Whitepaper, in dem die Sicherheitszonen des Internet Explorers 6 SP1 beschrieben sind. Diese Sicherheitszonen finden genauso im Outlook Express 6 SP1 Verwendung.

Die Internet Explorer Seite auf der Microsoft Web Site:


Das Internet Explorer Resource Kit (speziell das Kapitel, welches die Neuerungen im Internet Explorer 6 beschreibt). Zusätzliche Hilfe über dieses oder andere Resource Kits findet sich auf der Windows Deployment und Resource Kits Web-Site:


Vorteile und Nutzen

Outlook Express wurde zum einfachen Umgang beim Senden oder Empfangen von E-Mails und zur Nutzung von Newsgroups entworfen. Es unterscheidet sich von den meisten anderen Komponenten in diesem Whitepaper insofern, dass die grundlegende Funktion von Outlook Express die

http://www.microsoft.com/reskit/

http://www.microsoft.com/windows/ie

Kommunikation übers Internet oder ein Intranet darstellt (im Kontrast zu Komponenten, die zur Unterstützung einiger anderer Aktivitäten über das Internet kommunizieren).

Outlook Express ist ein Teil des Internet Explorers anderes als Microsoft Outlook, ein Programm des Microsoft Office Paketes. Outlook ist eine umfassende, integrierte E-Mail-Lösung und beinhaltet ein Informations- Management neben der Fähigkeit zur Nutzung gemeinsamer Informationen und unterstützt damit Home Anwender, kleinere Betriebe bis hin zu großen Unternehmen. Outlook Express, integriert in den Internet Explorer, bietet eine Standard-E-Mail- und -News-Lösung und ist geeignet für Home Anwender und Anwender in kleineren Betrieben. Outlook Express unterstützt das Post Office Protocol 3 (POP3) oder das Internet Message Access Protocol (IMAP).

Outlook Express 6 SP1 bietet mehr sicherheitsrelevante Optionen und Einstellungen als Outlook Express 5. Die folgenden Abschnitte beschreiben die neuen Optionen und deren Konfigurationen, genauso wie die Möglichkeit alle sichtbaren Einstiegspunkte von Outlook Express unter Windows XP Professional SP1 zu entfernen (für den Fall, dass ausschließlich ein anderer E-Mail-Client Verwendung findet).

Sicherheit: Neue Features

Outlook Express 6 SP1 stellt die E-Mail-Komponente im Internet Explorer 6 SP1 dar. Diese Version von Outlook Express beinhaltet die folgenden sicherheitsrelevanten Eigenschaften. Die Tabelle im Anschluss der folgenden Aufstellung beinhaltet die Konfiguration der jeweiligen Option in Outlook Express.

Warnung über schädliche E-Mail. Um den Versand von E-Mails ohne das Wissen des Anwenders zu verhindern, warnt Outlook Express den Anwender, wenn andere Programme, wie beispielsweise Viren oder schädliche Anhänge, den Versuch starten, E-Mails vom Computer des Benutzers zu versenden. Hiervor wird nur dann gewarnt, wenn Outlook Express als der Standard Simple MAPI Client konfiguriert ist und ein anderes Programm versucht Simple MAPI programmiertechnisch zum Versenden von E-Mail Nachrichten in einer nicht sichtbaren Benutzeroberfläche auf dem Computer zu verwenden.

Sperren von potentiell schädlichen Anhängen. Wenn diese Option aktiviert ist, sperrt Outlook Express 6 das Öffnen oder Speichern von bestimmten als „unsicher“ eingestuften Anhängen. Zur Bestimmung von unsicheren Anhängen vergleicht Outlook Express neben der Liste unsicherer Dateien des Internet Explorers zusätzliche Dateitypen und die Dateitypen, die über die Ordneroptionen konfigurierten „nach Herunterladen bestätigen“ Dateitypen (Dateitypen-Karteireiter). Jeder E-Mail-Anhang mit einem Dateityp, der als „unsicher“ eingestuft ist, wird geblockt. Diese Option kann sowohl über eine Gruppenrichtlinie oder am lokalen Computer aktiviert oder deaktiviert werden. Nähere Informationen zur Verwendung dieser Einstellungen finden sich in einer weiter unten in diesem Abschnitt aufgeführten Tabelle unter „Auffinden des Gruppenlinienobjektes (GPO) zum Sperren von E-Mail-Anhängen in Outlook Express 6 SP1“.Zusätzliche Informationen über die Liste unsichere Datei Typen im Internet Explorer finden sich in der Microsoft Knowledge Base. Für die Suche auf der Web Site folgen Sie den Instruktionen und suchen Sie nach dem Begriff „Liste unsicherer Dateien“support.microsoft.com/

Richtlinien für Software-Einschränkung. Ausgeführt unter Windows XP, können die Vorteile der Richtlinien für Softwareeinschränkung derart genutzt werden, indem potentielle schädliche Anhänge in einem geschützten Bereich ausgeführt werden, der einen separierten Speicherbereich darstellt, wo Programme nicht in der Lage sind Aufrufe zu tätigen. Wenn ein Anwender versucht Anhänge auszuführen oder zu speichern, bestimmen die Richtlinien für Softwareeinschränkungen, ob das Dateiformat gesperrt wird. Trifft dies zu, zeigt Outlook Express eine Warnung an und das den Anhang ausführende Programm hat nur eingeschränkten Zugriff auf die Festplatte und die Registrierung des Computers.

Klartext-Format-Option zum Lesen von E-Mails. Ab dem SP1 von Outlook Express 6 kann Outlook Express zum Anzeigen von E-Mails im Klartext konfiguriert werden. Einige HTML E-Mail Nachrichten werden in der Klartext-Konfiguration nicht korrekt angezeigt, allerdings werden bei dieser Einstellung keine aktiven Inhalte in den E-Mails ausgeführt.

Die folgende Tabelle zeigt, wie jede einzelne Option in Outlook Express 6 SP1 zu konfigurieren ist.

Konfigurierbare Optionen in Outlook Express 6 SP1

Zu konfigurierende Option in Outlook Express 6 SP1 Menüauswahl Menüeintrag Karteireiter

Warnung vor schädlicher E-Mail Extras Optionen Sicherheit

Sperre von potentiell schädlichen Anhängen(ebenfalls über Gruppenrichtlinien konfigurierbar)

Extras Optionen Sicherheit

Technologie der Richtlinien für Softwareeinschränkung Extras Optionen Sicherheit

Option des Klartext Formats beim Lesen aller E-Mails Extras Optionen Lesen (Nur mit SP1)

Überblick

Trotz der potentiellen Gefahren beim Senden oder Empfangen von E-Mails (oder E-Mail-Anhängen) gibt eine Reihe von unterschiedlichen Möglichkeiten und Konfigurationsmethoden in Outlook Express 6 SP1 diese Risiken zu reduzieren:

Über die graphische Benutzeroberfläche können die sicherheitsrelevanten Merkmale in Outlook Express 6 SP1 eingestellt werden. Für nähere Informationen siehe „Sicherheit: Neue Features“ weiter oben in diesem Abschnitt und „Starten von Outlook Express 6 SP1“ weiter unter in diesem Abschnitt.

Es gibt die Möglichkeit sicherzustellen, dass alle sichtbaren Einstiegspunkte von Outlook Express unter Windows XP SP1 entfernt werden (für den Fall, dass ausschließlich ein anderer E-Mail-Client Verwendung findet). Für nähere Informationen siehe „Entfernen von sichtbaren Einstiegspunkten von Outlook Express während der Ausbringung von Windows XP SP1“ und „Entfernen von sichtbaren Einstiegspunkten von Outlook Express auf einem individuellen Computer unter Windows XP SP1“ weiter unten in diesem Abschnitt.

Das mit E-Mail-Anhängen in Outlook Express 6 SP1 verbundene Risiko kann mithilfe einer Gruppenrichtlinieneinstellung Anhänge sperren, die einen Virus enthalten können eingegrenzt werden. Für nähere Informationen siehe „Auffinden des Gruppenrichtlinien Objektes zum Sperren von E-Mail-Anhängen in Outlook Express 6 SP1“ weiter unten in diesem Abschnitt.

Entfernen von sichtbaren Einstiegspunkten

Für den Fall, dass die Anwender grundsätzlich einen anderen E-Mail-Client als Outlook Express 6 SP1 verwenden sollten, gibt es die Möglichkeit, alle sichtbaren Einstiegspunkte von Outlook Express unter Windows XP SP1 zu entfernen. Eine Möglichkeit dieses zu gewährleisten, besteht während der Ausbringung der Arbeitsstation unter Verwendung von Standardmethoden der unbeaufsichtigten Installation oder der Remote Installation. Bei Einsatz einer Antwortdatei ist der folgende Eintrag der Antwortwortdatei hinzuzufügen:

[Components]OEAccess = Off

Für nähere Informationen über die unbeaufsichtigte Installation siehe Anhang A: “Informationsquellen für den Einsatz automatisierter Installationen”.

Arbeiten mit Outlook Express 6 SP1

Dieser Abschnitt stellt Verfahren für den folgenden Sachverhalt zur Verfügung:

Öffnen der Dialogbox, unter der Sicherheitseinstellungen von Outlook Express 6 SP1 vorgenommen werden können.

Auffinden der Gruppenrichtlinieneinstellung Anhänge sperren, die einen Virus enthalten können.Diese Gruppenrichtlinieneinstellung ist für den Fall sinnvoll in dem Benutzern Outlook Express 6 SP1 zur Verfügung gestellt wird, das Risiko von E-Mail-Anhängen allerdings begrenzt werden soll. Für nähere Informationen siehe „Sicherheit: Neue Features“ weiter oben in diesem Abschnitt.

Entfernen der sichtbaren Einstiegspunkte von Outlook Express auf einem individuellen Computer unter Windows XP SP1.

Entfernen der sichtbaren Einstiegspunkte von Outlook Express während der unbeaufsichtigten Installation von Windows XP SP1 unter Verwendung einer Antwortdatei.

Konfiguration Klicken sie Start, Programme, klicken sie Outlook Express.

Im Menü Extras, klicken sie Optionen.

Klicken sie auf die Registerkarte Sicherheit und überprüfen oder konfigurieren sie die Einstellungen, inklusive der Kontrollkästchen für die folgenden zwei Einstellungen:- Warnung anzeigen, wenn andere Anwendungen versuchen, E-Mail unter meinem Namen zu versenden.- Speichern oder öffnen von Anlagen, die möglicherweise einen Virus enthalten könnten, nicht zulassen.Es ist außerdem möglich, die Einstellungen der Sicherheitszonen zu überprüfen oder zu konfigurieren. Outlook Express verwendet zwei der gleichen Sicherheitszonen, die im Internet Explorer 6 SP1 konfiguriert werden können. Für nähere Informationen über Sicherheitszonen, siehe unter dem Abschnitt Internet Explorer 6 SP1 in diesem Whitepaper.

Klicken sie auf die Registerkarte Lesen und überprüfen oder konfigurieren sie die Einstellungen inklusive dem Kontrollkästchen Alle Nachrichten als Nur-Text lesen.

Sperren von E-Mail-Anhängen Versichern sie sich, dass die neuesten Administrativen Vorlagendateien geladen sind. Für nähere

Informationen siehe Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“.

Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um Gruppenrichtlinien zu konfigurieren, je nachdem ob Sie diese auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden wollen. Weitere Informationen zu Gruppenrichtlinien finden Sie in der Windows-Hilfe und in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien.“

Klicken sie Anwender Konfiguration, klicken sie Administrative Vorlagen, klicken sie Windows Komponenten und anschließend Internet Explorer.

Im Detailfenster doppelklicken sie Outlook Express konfigurieren.

Aktivieren oder deaktivieren sie das Kontrollkästchen Anhänge sperren, die einen Virus enthalten können.

Entfernen der sichtbaren Einstiegspunkte von Outlook Express auf einem individuellen Computer unter Windows XP SP1

Klicken sie Start und anschließend entweder Systemsteuerung oder zeigen sie auf Einstellungen\ Systemsteuerung.

Doppelklicken sie auf Software.

Klicken sie auf Windows Komponenten hinzufügen/entfernen (auf der linken Seite).

Rollen sie die Liste zu Outlook Express und stellen sie sicher, dass Kontrollkästchen für diese Komponente nicht ausgewählt ist.

Folgen sie den Instruktionen zum Abschließen des Assistenten für Windows Komponenten.

Unbeaufsichtigte Installation mit Antwortdatei Verwenden sie Ihre bevorzugte Methode der unbeaufsichtigten oder der Remote Installation.

Erstellen sie eine Antwortdatei. Für nähere Informationen zur unbeaufsichtigten oder Remote Installation siehe Anhang A: „Informationsquellen für den Einsatz automatisierter Installationen“.

Im Abschnitt [Components] der Antwortdatei fügen sie folgenden Eintrag hinzu:

OEAccess=Off

Plug-and-PlayIn diesem Abschnitt werden folgende Themen behandelt:

Die Vorteile von Plug-and-Play

Wie kommuniziert Plug-and-Play mit Seiten im Internet.

Wie wird Plug-and-Play kontrolliert um den Datenfluss von Informationen vom und zum Internet zu verhindern.

Vorteile und Nutzen

Windows Plug-and-Play stellt ihnen eine einfache Unterstützung von Hardwaregeräten auf Computern ihres Netzwerkes zur Verfügung. Sie können ein Plug-and-Play Gerät einfach an den Computer anschließen und Windows erledigt den Rest, indem alle notwendigen Treiber installiert, das System aktualisiert und die Computer Ressourcen reserviert werden. Nach der Installation eines Plug-and-Play-Gerätes wird typischerweise ohne Benutzereingriff der Hardwaretreiber dynamisch konfiguriert und geladen.

Plug-and-Play in Microsoft Windows XP Professional Service Pack 1 (SP1) bietet die folgenden Dienste:

Erkennung eines Plug-and-Play-Gerätes und Bestimmung seiner Hardware Ressourcen Anforderungen und der Geräte Identifikationsnummer (Plug-and-Play ID)

Lokalisierung eines passenden Gerätetreibers für alle neu zu installierenden Geräte

Reservierung von Hardware Ressourcen

Dynamisches Laden, Initialisieren und Entladen von Treibern

Benachrichtigung anderer Treiber und Anwendungen, wenn ein neues Gerät zur Verfügung steht

In Verbindung mit dem Power Management wird das Stoppen und Starten von Prozessen für Geräte während eines Ruhezustandes, im Standby Modus und während des Starts und dem Herunterfahren des Systems abgewickelt.

Unterstützung einer weitreichenden Auswahl von Gerätetypen

Überblick

Plug-and-Play ist standardmäßig in Windows XP aktiviert. Wenn Anwender Plug-and-Play-Geräte installieren wollen und eine Internetverbindung besteht, verschafft sich Windows XP automatisch Zugriff zum Windows Update, um nach neuen Geräte Treibern zu suchen.

Anmerkung Einige Bussysteme wie der Peripheral Component Interconnect Bus (PCI) und der Universal Serial Bus (USB) nutzen die gesamten Vorteile von Plug-and-Play. Ältere Bussysteme wie der Industry Standard Architecture Bus (ISA) nutzen nicht die gesamten Vorteile von Plug-and-Play und erfordern mehr Benutzereingriffe, um die korrekte Installation der Geräte sicherzustellen.

Wenn ein Administrator unter Verwendung des Assistenten zum Hinzufügen von Hardware neue, nicht Plug-and-Play-fähige Hardware hinzufügen möchte, bietet Windows XP dennoch eine eingeschränkte Plug-and-Play Unterstützung und sucht nach passenden Gerätetreibern auf der Windows Update Site. Windows XP verwendet dennoch lediglich von Microsoft Corporation signierte Treiber. Eine vergleichbare Unterstützung erfährt ein Administrator, wenn er die Assistenten nach geänderter Hardware suchen oder den Hardware Update Assistent aufruft.

Für eine erfolgreiche Hardwareinstallation über diese Assistenten ist eine Anmeldung als ein Administrator oder unter einem Anwender mit einer Mitgliedschaft der lokalen Gruppe Administratoren notwendig.

Ein IT Administrator in einer hochgradig verwalteten Netzwerkumgebung benötigt die Kontrolle über die Möglichkeit von Benutzern und Administratoren, neue Hardware zu installieren, da während des Installationsprozesses Windows XP automatisch auf das Internet für die Suche nach Gerätetreibern zugreift. In einer Umgebung mit erhöhten Sicherheitsanforderungen kann die Installation von Hardwaregeräten für Anwender und Administratoren ausgeschlossen oder die Möglichkeiten während dieses Prozesses durch Gruppenrichtlinien eingeschränkt werden.

Es existieren Gruppenrichtlinieneinstellungen, die das Windows Update für alle Anwender und Administratoren deaktiviert. Wenn Sie bestimmte Administratoren vom Zugriff auf das Windows Update ausschließen, bestehen darüber hinaus allerdings Optionen für den manuellen Download von Aktualisierungen über den Windows-Update-Katalog. Dadurch ist eine Verteilung auf das gesamte Netzwerk der Organisation möglich.

Die Verwendung von Gruppenrichtlinien zur Deaktivierung von Windows Update und die Konfigurationsmöglichkeiten Treiberaktualisierungen im eigenen Netz zur Verfügung zu stellen, werden weiter unten beschrieben.


Es gibt drei Ereignisse zu denen ein Computer unter Windows XP im Zusammenhang mit Plug-and-Play versucht auf das Internet zuzugreifen:

Wenn Plug-and-Play nach Treibern für neu installierte Geräte sucht.

Wenn ein Administrator Treiber für bereits existierende Hardware aktualisiert.

Wenn ein Administrator Nicht-Plug-and-Play Hardware unter Verwendung des Assistenten zum Hinzufügen neuer Hardware installiert.

Wenn Sie ein neues Hardwaregerät an einen Computer anschließen und auf dem Computer kein Treiber existiert wird Windows XP unter Verwendung des Windows Update auf der Windows Update Site nach verfügbaren Treibern suchen. Wenn ein entsprechender Treiber auf der Windows Update Site gefunden wurde, kopiert und installiert Windows XP diesen auf dem lokalen Computer. Sollte der Computer zu diesem Zeitpunkt nicht mit dem Internet verbunden sein, wird eine Nachricht angezeigt, mit der Aufforderung eine Verbindung zum Internet herzustellen.

Als ein Teil der Plug-and-Play Konfiguration sucht Windows XP im Internet nach Gerätetreibern, diese Interaktion geht wie folgt von statten:

Senden und Empfangen spezifischer Informationen: Der Code Download Manager (CDM) ruft Windows Update auf, Gerätetreiber aufzufinden und zu herunterzuladen. Der CDM ruft zusätzlich das Hilfe- und Supportcenter auf, in dem Windows Update die Plug-and-Play IDs von Geräten protokolliert, für die Microsoft keinen Treiber zur Verfügung stellt. Keine dieser Kommunikationen wird direkt von Plug-and-Play kontrolliert. Der CDM übernimmt die gesamte Kommunikation zwischen dem Computer und Windows Update.

Standard und empfohlene Einstellungen: Plug-and-Play ist standardmäßig aktiviert. Plug-and-Play kann aus Gründen der Systemstabilität nicht deaktiviert werden. Empfohlene Einstellungen werden in dem Abschnitt „Steuerung der Kommunikation über das Internet“ näher betrachtet.

Auslöser: Wenn ein Anwender ein Plug-and-Play Gerät installiert oder ein Administrator über einen der Hardware-Assistenten neue Hardware hinzufügt, wird automatisch Windows Update kontaktiert.

Benachrichtigung des Anwenders: In Verbindung mit der Suche nach Gerätetreibern übermittelt Windows Update an den Computer des Benutzers eine Liste aller verfügbaren Treiber. Plug-and-Play bewertet diese Treiber nach ihrer Signatur, der Plug-and-Play ID Übereinstimmung und dem Datum des Treiberpaketes.

Protokollierung: Wenn ein Plug-and-Play Treiber für ein Nicht-Plug-and-Play Gerät Verwendung findet, werden alle damit verbundenen Meldungen oder Probleme in der Ereignisanzeige gespeichert.

Verschlüsselung: Der Datentransfer basiert auf dem Dialog mit Windows Update. Die Daten werden über HTTPS übertragen.

Übertragungsprotokolle und Anschlüsse: Die Übertragungsprotokolle und Anschlüsse sind HTTP 80 und HTTPS 443.

Möglichkeiten der Deaktivierung: Über Gruppenrichtlinieneinstellungen können die Funktionen von Windows Update eingegrenzt werden.


Windows versucht unter Verwendung von Plug-and-Play automatisch Gerätetreiber zu aktualisieren und unternimmt sogar den Versuch für Nicht-Plug-and-Play-Geräte kompatible Treiber zu finden. Deshalb könnte die Anforderung bestehen, die Möglichkeiten von Benutzern und Administratoren bei der Installation und Aktualisierung von Hardware Gerätetreibern einzuschränken.

Mithilfe von Gruppenrichtlinien können sie unterschiedliche Stufen festgelegen inwieweit Plug-and-Play oder zugehörige Hardware-Assistenten daran gehindert werden, auf das Internet zuzugreifen. Sie können Treibersuchpfade vorgeben oder sie sind in der Lage Anwender und Computer am automatischen Zugriff auf die Windows-Update-Web-Sites zu hindern. Wenn sie sich für die Deaktivierung der automatischen Aktualisierung für Anwender und Computer entscheiden, besteht die Möglichkeit Windows Update für spezielle Server im lokalen Netzwerk zu konfigurieren und den Arbeitsplattscomputern Zugriff einen Intranet-Server zu geben, der eine Auswahl vorselektierter Aktualisierungen vorhält.

Sie können Gruppenrichtlinien einsetzen für:

Einbindung von Windows Update in den Suchprozess von Plug-and-Play nach einem geeigneten Gerätetreiber.Dieses Verfahren wird im nächsten Abschnitt behandelt.

Eliminierung der automatischen Anfrage von Windows Update.Die zugehörige Richtlinieneinstellung findet sich unter Benutzerkonfiguration\Administrative Vorlagen\System.

Entfernen des Zugriffs auf Windows Update.Wenn sie die Richtlinieneinstellung „Zugriff auf alle Windows Update Funktionen entfernen“ aktivieren, sperren sie den Zugriff Windows Update Seite für die Windows Update Verknüpfungen im Startmenü und im Menü Extras im Internet Explorer. Wird die automatische Aktualisierung von Windows deaktiviert werden sie weder von Windows Update benachrichtigt noch empfangen sie kritische Aktualisierungen. Die Richtlinieneinstellung verhindert darüber hinaus den Gräte-Manager automatisch Treiberaktualisierungen von der Windows Update Web Site zu installieren.Die Windows Update Site befindet sich unter:windowsupdate.microsoft.com/

Windows Update betreffende Richtlinieneinstellungen finden sich unter Benutzerkonfiguration\Administrative Vorlagen\Windows Komponenten\Windows Update.

Definition des Treibersuchpfads

Wenn sie neue Hardware installieren sucht Windows XP an vier verschiedenen Stellen nach Treiber in der folgenden Reihenfolge: Festplatte, Diskettenlaufwerk, CD-ROM Laufwerk und Windows Update. Der Standardansatz verfolgt, alle vier Stellen der Reihenfolge nach zu durchsuchen, bis der passende Treiber gefunden wurde. Sie sind in der Lage eine oder alle dieser Pfade aus der Suche zu entfernen.

Hierin enthalten ist das Verfahren zur Konfiguration der Gruppenrichtlinieneinstellung Treibersuchpfade konfigurieren. Für weitergehende Verfahren zur Konfiguration von Richtlinien für Windows Update siehe im Abschnitt „Windows Update und automatische Updates“ in diesem Whitepaper.

Deaktivierung von Windows Update als Teil des Treibersuchpfades für Plug-and-Play-Geräte

Auf einem Server unter Windows 2000 folgen sie den Instruktionen in der Hilfe zum Öffnen einer Gruppenrichtlinie in Abhängigkeit von der Anwendung des Gruppenrichtlinienobjektes (GPO) auf eine Organisationseinheit, Domäne oder einen Standort.Für nähere Informationen über Gruppenrichtlinien oder über das Anzeigen von Informationen über Gruppenrichtlinien in der Windows 2000 Hilfe siehe Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“.

Klicken sie Benutzerkonfiguration, klicken sie Administrative Vorlagen und anschließend System.

Im Detailfenster doppelklicken sie Treibersuchpfade konfigurieren und wählen sie aktiviert.

Wählen sie Windows Update nicht durchsuchen.

Verwandte Themen

Zusätzliche Informationen zum Windows Update finden sie unter:


Programmkompatibilitäts-AssistentIn diesem Abschnitt werden folgende Themen behandelt:

Nutzen des Programmkompatibilitäts-Assistenten

Wie kommuniziert der Programmkompatibilitäts-Assistenten mit Seiten im Internet

Wie lässt sich der Informationsfluss mit dem Internet beim Programmkompatibilitäts-Assistenten kontrollieren

Vorteile und Nutzen

Einige Applikationen, die auf älteren Windows-Betriebssystemen lauffähig sind, können Probleme bei der Ausführung unter Microsoft Windows XP Professional SP1 verursachen. Dies kann unterschiedliche Ursachen haben; eine Applikation könnte ein anderes Datenformat erwarten oder die Applikation erwartet Benutzerinformationen in anderen Pfaden oder Formaten. Diese Art von Problemen taucht bevorzugt bei Applikationen auf, die für die Betriebssysteme Windows 95, Windows 98 oder Windows Millennium entwickelt sind. Applikationen, die exklusiv für diese Plattformen programmiert wurden, benötigen unter Umständen direkten Hardwarezugriff, der die Betriebssystemstabilität stark reduzieren kann. In Anlehnung an die Architektur von Windows NT, die Windows XP SP1 zugrunde liegt, ist der Hardwarezugriff ausschließlich über definierte Kanäle möglich.

Für eine komfortablere Benutzerinteraktion, hat Microsoft in Windows XP SP1 Technologien zur Programmkompatibilität integriert. Diese Technologien werden bei jedem Installationsprozess einer Applikation im Betriebssystem, im Zuge einer Systemaktualisierung, oder einer regelmäßigen Operation angewandt. In einigen Fällen führen diese Technologien automatische Anpassungen von Kompatibilitäts-Fixes aus, während andere von Benutzern oder Administratoren ausgewählt werden können. Dieser Abschnitt beschäftigt sich mit einer vom Anwender konfigurierbaren Technologie, dem Programmkompatibilitäts-Assistenten. Wenn ein Anwender Schwierigkeiten mit der Kompatibilität einer Applikation hat, kann er mit Hilfe des Assistenten Anpassungen vornehmen, die eine erfolgreiche Ausführung dieser Applikationen gewährleisten.

Überblick

IT Administratoren, die eine Applikation schnell und mit möglichst geringem Aufwand bei der Bestimmung der Kompatibilität in einer Organisation ausbringen wollen, sollten sich für den Programmkompatibilitäts-Assistenten entscheiden. Sie können den Assistenten in Situationen einsetzen, in denen die zusammengestellten Kompatibilitäts-Fixes in der Lage sind, die aufgekommenen Probleme zu beseitigen. Dies gilt insbesondere auf Computern, auf denen das Application Compatibility Toolkit nicht installiert ist. Für nähere Informationen zum Application Compatibility Toolkit siehe Anhang D, „Application Compatibility Toolkit“.

Eine der schwierigsten Aufgaben eines Netzwerkadministrators ist die Überwachung und Kontrolle, der von den Benutzern auf den Computern installierten Applikationen. Wenn die Anwender versuchen eine nicht kompatible Applikation zu installieren, sollten sie sich für den Programmkompatibilitäts-Assistenten entscheiden. Unter Windows XP SP1 erreichen die Anwender den Programmkompatibilitäts-Assistenten standardmäßig über das Startmenü unter Programme\Zubehör. Der Assistent fragt die Anwender, ob sie Dateien versenden wollen, die „Informationen über die ausgewählten Einstellungen und über die Problembehandlung“ enthalten. Die Anwender können diese Informationen dann Microsoft zusenden. Die Anwender sollten diesen Bericht senden können, auch wenn sich das Problem lediglich bei hochgradig verwalteten Organisationen einstellt.

Anmerkung Alternativ zum Aufruf des Programmkompatibilitäts-Assistenten besteht die Möglichkeit, Kompatibilitätseigenschaften manuell bei ausführbaren Dateien über den Karteireiter Kompatibilität in

den Eigenschaften der Dateien einzustellen. Diese Einstellungen können über einen Rechts-Klick auf den Dateien, der Auswahl Eigenschaften und Kompatibilität vorgenommen werden.

Administratoren können mit Hilfe von Gruppenrichtlinien entscheiden, ob die vom Programmkompatibilitäts-Assistenten gesammelten Daten versendet werden können. Sie sind in der Lage den Datentransfer zu Microsoft über das Internet unter Verwendung von Gruppenrichtlinieneinstellungen genau wie bei der Fehlerberichterstattung zu verhindern und können diese Daten auf einen Server im eigenen Intranet umleiten. Für weitere Details dieses Verfahrens siehe „Kontrolle des Informationsflusses“ weiter unten in diesem Abschnitt.


Obwohl sie die Möglichkeit haben, den Informationsfluss einzuschränken, wird die Kommunikation des Programmkompatibilitäts-Assistenten über das Internet zur Beschleunigung der Problemlösung eingesetzt. Die Abschnitte enthalten Details über den Kommunikationsprozess:

Versand oder Empfang von spezifischen Informationen: Die Ergebnisdaten des Programmkompatibilitäts-Assistenten inklusive der Einstellungen und Probleme die im Zusammenhang mit der Installation der Applikation aufgetaucht sind, werden an Microsoft gesendet. Benutzeridentifikationsdaten werden nicht übertragen.

Standard und empfohlene Einstellungen: Die Verwendung des Programmkompatibilitäts-Assistenten ist standardmäßig aktiviert. Empfohlene Einstellungen werden im nächsten Abschnitt „Kontrolle des Informationsflusses des Programmkompatibilitäts-Assistenten über das Internet“ diskutiert.

Auslöser: In der letzten Dialogbox des Assistenten werden die Anwender gefragt, ob Informationen an Microsoft gesendet werden sollen. Ein automatischer Versand erfolgt nicht.

Benachrichtigung des Anwenders: Siehe Auslöser.

Protokollierung: Informationen im Zusammenhang mit dem Programmkompatibilitäts-Assistenten werden in der Ereignisanzeige nicht mitprotokolliert.

Verschlüsselung: Der Datentransfer zu Microsoft erfolgt über HTTPS.

Zugriff: Das Microsoft Produkt Team hat lediglich Zugriff auf die Rohdaten.

Datenschutz: Es gelten die gleichen Datenschutzvereinbarungen wie bei der Windows Fehlerbenachrichtigung (Windows Error Reporting WER). Wenn ein Anwender Informationen senden möchte, wird er auf den Link der Datenschutzvereinbarungen hingewiesen.

Übertragungsprotokolle und Anschlüsse: Das verwendete Übertragungsprotokoll ist HTTPS und der Anschluss 443.

Möglichkeiten der Deaktivierung: Es gibt keine Möglichkeit den Programmkompatibilitäts-Assistenten zu deaktivieren. Unter Verwendung von Gruppenrichtlinien kann der Versand von Daten über das Internet verhindert werden.

Für zusätzliche Informationen über die Art der an Microsoft übermittelten Daten, über die Verwendung der Daten, die Verschlüsselung und die Datenschutzvereinbarung siehe im Abschnitt „Windows Fehlerbenachrichtigung“ in diesem Whitepaper.


Unter Verwendung von Gruppenrichtlinien kann die Richtlinie Fehlerübermittlung konfiguriert werden, um die Übermittlung von Daten des Programmkompatibilitäts-Assistenten an Microsoft zu unterdrücken. Unter Verwendung der Konfigurationsoptionen innerhalb der Fehlerübermittlung besteht die Möglichkeit in Alternative zu Microsoft die Daten an einen eigenen im Intranet befindlichen Server zu senden. Die Fehlerübermittlung lässt sich durch Aktivierung der zentralen Fehlerberichte (Zentrale Fehlerberichterstattung CER) konfigurieren.

Verwenden Sie die folgende Tabelle zur Konfiguration der Fehlerübermittlung um zu entscheiden, wie und ob Daten über das Internet vom Programmkompatibilitäts-Assistenten gesendet werden.

Gruppenrichtlinieneinstellungen zur Konfiguration der Fehlerübermittlung

Richtlinieneinstellung Auswirkung Konfiguration Option

Fehler melden (aktiviert)

Fehler werden über das Internet zu Microsoft oder an einen eigenen Intranet-Server übermittelt. Die Aktivierung dieser Gruppenrichtlinieneinstellung überschreibt alle Einstellungen, die für die Fehlerübermittlung in der Systemsteuerung vorgenommen wurde. Für alle nicht konfigurierten Fehlerübermittlungseinstellungen werden genauso wie für die vorab in der Systemsteuerung konfigurierten Standwerte verwendet.

Zur Auswahl stehen: Keine von Microsoft angebotene

Web-Sites bezüglich „Weiterer Informationen“ anzeigen

Keine zusätzlichen Daten sammeln

Keine zusätzlichen Computerdaten sammeln

Warteschlangenmodus für Anwendungsfehler erzwingen

Eingabe von: Dateiuploadpfad für zentrale

Fehlerberichte Instanzen des Wortes „Microsoft“

ersetzen durch

Fehler melden (deaktiviert)

Der Anwender hat nicht die Möglichkeit Fehler zu melden. Wenn die Einstellung „Fehlerbenachrichtigung anzeigen“ aktiviert ist, wird der Anwender eine Nachricht erhalten, dass ein Fehler aufgetreten ist; er hat jedoch nicht die Möglichkeit den Fehler zu melden.

Nicht anwendbar

Fehler melden (nicht konfiguriert)

Die Anwender haben die Möglichkeit die Einstellungen über die Systemsteuerung vorzunehmen, welche standardmäßig unter Windows XP mit „Fehler melden“ konfiguriert ist.

Nicht anwendbar

Für zusätzliche Informationen über die Konfigurationsoptionen und die Verwendung der Zentralen Fehlerberichte, siehe im Abschnitt „Windows Fehlerübermittlung“ in diesem Whitepaper.

Wenn sie den Ansatz der zentralen Fehlerberichte anwenden, hat dies keine Auswirkungen auf die Benutzerinteraktionen des Programmkompatibilitäts-Assistenten. Die Dialogbox zum Versenden der Daten an Microsoft bleibt unverändert. Wenn der Anwender die Frage bejaht, werden die Daten zum vorgesehenen Server im Intranet gesandt.

Kontrolle des Informationsflusses

Verwenden sie das folgende Verfahren, um Fehlerberichte, mit den vom Programmkompatibilitäts-Assistenten zusammengestellten Daten, an einen eigenen Server im Intranet anstelle zu Microsoft zu senden.

Versand von Daten des Programmkompatibilitäts-Assistenten an einen Server im Intranet

1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um Gruppenrichtlinien zu konfigurieren, je nachdem ob Sie diese auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden wollen. Weitere Informationen zu Gruppenrichtlinien finden Sie in der Windows-Hilfe und in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien.“

2. Klicken sie Computerkonfiguration, klicken sie Administrative Vorlagen, klicken sie System und anschließend doppelklicken sie auf Fehlerberichterstattung.

3. Im Detailfenster doppelklicken sie auf Fehler melden und anschließend auf Aktiviert.

4. Unter Dateiuploadpfad für zentrale Fehlerberichte geben sie einen UNC (Universal Naming Convention) Pfad ein (\\servername\freigabename).

Anmerkung Sie können eine Reihe anderer Elemente der Fehlerberichterstattung konfigurieren, um den Anforderungen ihrer Organisation Rechnung zu tragen. Sie können die Fehlerberichte in der Ereignisanzeige überprüfen oder sie können das Zentrale Fehlerberichterstattungstool verwenden, um Berichte zu filtern, wie es im Abschnitt „Windows Fehlerberichterstattung“ in diesem Whitepaper beschrieben ist.

RemoteunterstützungIn diesem Abschnitt werden folgende Themen behandelt:

Den Nutzen der Remoteunterstützung

Wie die Remoteunterstützung mit Internet Sites kommuniziert

Wie der Datenfluss der Remoteunterstützung vom und zum Internet kontrolliert werden kann

Vorteile und Nutzen

Unter Windows XP Professional Service Pack 1 kann ein Anwender oder Administrator die Remoteunterstützung verwenden, um Hilfe vom Support Personal der Organisation anzufordern. Durch die Bildschirmfreigabe steht Benutzern oder Administratoren eine weitere Möglichkeit der Zusammenarbeit zur Verfügung. Die Remoteunterstützung ist für Support Experten eine angenehme Form, sich zu einem Computer über einen Computer mit einem kompatiblen Betriebssystem, wie Windows XP, zu verbinden und dem Anwender oder Administrator des entfernten Computers die Lösung des jeweiligen Problems zu zeigen.

Über den Windows Messenger Dienst oder ein MAPI-kompatibles E-Mail Programm, wie Microsoft Outlook oder Outlook Express, ist der Support über die Remoteverbindung zum Computer des Benutzers möglich. Nach dem Verbindungsaufbau werden die Bildschirminhalte übertragen, sie können in Echtzeit über diese Inhalte mit dem Anwender des Remotecomputers kommunizieren, Dateien übertragen, Sprachkommunikation verwenden und den Remotecomputer mit Maus und Tastatur fernsteuern.

Überblick

Über das Hilfe- und Supportcenter können Anwender auf die Remoteunterstützung standardmäßig zugreifen, um von jemandem innerhalb oder außerhalb des lokalen Netzwerkes Hilfe anzufordern. Im Hilfe- und Supportcenter kann der Anwender auf „Einen Bekannten auffordern, eine Verbindung über Remoteunterstützung mit Ihrem Computer herzustellen“ klicken oder er wählt Support\ Einen Freund um Unterstützung bitten.

Benutzern außerhalb des Netzwerkes wird es aufgrund lokaler Firewalls unter Umständen verweigert, sich mit einem Computer im Intranet direkt zu verbinden. Allerdings ermöglicht die Remoteunterstützung potentiell einen Verbindungsaufbau zu einem entfernten Computer inner- oder außerhalb des lokalen Netzes. In einer hochgradig verwalteten Umgebung möchten Sie als Administrator eventuell verhindern, dass Anwender die Remoteunterstützung verwenden können. Sie können die Remoteunterstützung während der Installation von Windows XP SP1 oder im Anschluss mithilfe von Gruppenrichtlinien deaktivieren.

In einer Domänenumgebung kann ein Mitarbeiter des Support Personals oder ein IT Administrator darüber hinaus unangeforderte Unterstützung anbieten. Vom Hilfe- und Supportcenter über Tools\Anbieten von Remoteunterstützung kann ein Administrator einer Domäne einem Anwender der gleichen Domäne unaufgefordert Hilfestellungen anbieten; der Anwender kann allerdings diese Einladung ablehnen. Diese Fähigkeit sollten Administratoren über Gruppenrichtlinien kontrollieren und einschränken. Konfigurationen zum Einschränken der Möglichkeiten der angeforderten oder nicht angeforderten Remoteunterstützung sind in dem Abschnitt „Steuerung der Kommunikation über das Internet“ weiter unten beschrieben.


Wenn ein Anwender (im Folgenden „Anfänger“ genannt) eine Anfrage zur Hilfestellung über die E-Mail-Option oder in Dateiform initiiert, startet Windows XP das Hilfe- und Supportcenter. Das Hilfe- und Supportcenter übergibt die Informationen anschließend an die Remoteunterstützung. Die Remoteunterstützung analysiert die Datei und startet einen Prozess zur Initialisierung einer Remoteunterstützungsverbindung zum Computer, von dem aus die Datei erstellt wurde.

Wenn die kontaktierte Person (der „Experte“) die Einladung des Anfängers akzeptiert, ruft die Remoteunterstützung die Hilfe- und Supportcenter Application Programming Interfaces (API) zur Initialisierung der Sitzung auf. Das Hilfe- und Supportcenter gibt die Datei zur Remoteunterstützung (das „Ticket“) an die Terminal Dienste weiter. Die Terminal Sitzung der Remoteunterstützung wird über RDP (Remote Desktop Protocol) und den Anschluss 3389 auf dem Computer des Anfängers und des Experten eingerichtet.

In die Remoteunterstützung sind Schutzmaßnahmen eingebunden. Alle Sitzungen sind verschlüsselt und können durch ein Kennwort geschützt werden. Der Anfänger (im Falle der angeforderten Sitzung) bestimmt die Gültigkeitsdauer des Tickets. Zusätzlich kann eine in der Organisation vorhandene Firewall den Verbindungsaufbau verhindern. Die folgenden Informationen geben Auskunft über zusätzliche Details wie Informationen beim Verbindungsaufbau über das Internet versandt werden:

Versand oder Empfang spezifischer Informationen: Im übertragenden Ticket der Remoteunterstützung sind Benutzername, IP-Adresse und Computername enthalten. Die Informationen, die für die Funktionalität der Remoteunterstützung sorgen (Bildschirminhalt, Dateitransfer, Sprache), werden in Echtzeit über eine Punkt-zu-Punkt Verbindung übertragen.

Standard und empfohlenen Einstellungen: Jeder der Zugriff auf das Hilfe- und Supportcenter besitzt, kann die Funktionen der Remoteunterstützung nutzen. Anwender können die Einladung ablehnen, wenn jemand die Kontrolle über ihren Computer anfragt.

Auslöser: Bevor ein Anwender sich zu einem anderen Computer verbinden kann, geht eine Kontaktaufnahme mit dem Experten voraus, die über eine Einladung per E-Mail, Instant Messaging oder in Form einer gespeicherten Datei erfolgen kann. Die als Datei gespeicherte Einladung ist dann manuell z.B. über eine Diskette zu transportieren.

Benachrichtigung des Anwenders: Der Experte bekommt vom Anfänger per E-Mail eine Anfrage nach Unterstützung. Eine Verbindung findet nicht statt, bevor der Experte dieser Einladung zustimmt. Oder im Fall der unangeforderten Remoteunterstützung muss der Anfänger das Angebot des Experten durch einen Klick auf den Ja Schalter vor dem möglichen Verbindungsaufbau bestätigen.

Protokollierung: Ereignisse wie die Initialisierung einer Verbindung oder das Akzeptieren oder Abweisen einer Einladung werden in die Ereignisanzeige eingetragen.

Verschlüsselung: Es finden der RDP (Remote Desktop Protocol) Verschlüsselungsalgorithmus und der RTC (Real-Time Communication) Verschlüsselungsalgorithmus für die Sprachübertragung Verwendung. Hinter dem RDP Verschlüsselungsalgorithmus verbirgt sich RC4 128-bit.

Zugriff: Bei Microsoft werden keine Informationen gespeichert.

Datenschutz: Es gibt keine zugehörige Datenschutzverordnung.

Übertragungsprotokolle und Anschlüsse: Der Anschluss ist 3389 und die Übertragungsprotokolle sind RDP und RTC.

Möglichkeiten der Deaktivierung: Über eine die Antwortdatei im Zusammenhang mit einer unbeaufsichtigten Installation, über Gruppenrichtlinien oder über die lokale Systemsteuerung ist eine Deaktivierung möglich.

Schutz durch Firewall: Eine Firewall kann den Anschluss 3389 sperren, sodass Verbindungen zu Computern außerhalb des Intranets verhindert werden. Diese Firewall-Einstellungen ermöglichen es dennoch allen Benutzern innerhalb des lokalen Netzes ungehindert miteinander zu kommunizieren.

Für zusätzliche Informationen über die Remoteunterstützung siehe auch Artikel 300692 „Beschreibung der Remoteunterstützungsverbindung“ in der Microsoft Knowledge Base unter:

http://support.microsoft.com/?kbid=300692


Administratoren können den Einsatz der Remoteunterstützung in der folgenden Art und Weise kontrollieren:

In Antwortdateien für die unbeaufsichtigte Installation kann die Remoteunterstützung gesperrt oder eingeschränkt werden

Über Gruppenrichtlinien gibt es die Möglichkeit die angeforderte oder angebotene Remoteunterstützung zu deaktivieren

Lokale Anwender kontrollieren die Funktionen der Remoteunterstützung über die Systemsteuerung

Die Einträge in der Antwortdatei der unbeaufsichtigten Installation und Gruppenrichtlinieneinstellungen sind in diesem Abschnitt beschrieben. Die Verfahren zum Deaktivieren der Remoteunterstützung finden sich im nächsten Abschnitt.

Verwendung der unbeaufsichtigten oder Remote Installation

Sie können im Zuge der Ausbringung von Arbeitsstationen mithilfe von Standardmethoden der unbeaufsichtigten Installation die Remoteunterstützung deaktivieren oder eine Reihe von Einstellungen vordefinieren. Um dieses zu realisieren können sie im Abschnitt [PCHealth] der Antwortdatei verschiedene Einträge setzen. In der folgenden Tabelle werden diese Einträge genauer beschrieben:

Eintrag Beschreibung

RA_AllowFullControl Legt fest, ob eine Person (eine andere als der Anwender des Computers) die volle Kontrolle über einen Computer von einem entfernten Standort aus über die Sitzung der Remoteunterstützung übernehmen kann. Ist der Eintrag RA_AllowFullControl = 0, kann eine andere Person als der Anwender des Computers den Desktop des Benutzers sehen, jedoch keine Kontrolle über den Computer übernehmen.

RA_AllowToGetHelp Diese Einstellung legt die Aktivierung der Remoteunterstützung fest. Ist der Eintrag RA_AllowToGetHelp = 0, ist die Remoteunterstützung deaktiviert.

RA_AllowUnsolicited Legt fest, ob die unangeforderte Remoteunterstützung aktiviert ist. Wenn der Eintrag auf RA_AllowUnsolicited = 0 gestetzt, ist die unangeforderte Remoteunterstützung deaktiviert.

RA_MaxTicketExpiry Legt die maximale Zeitdauer in Sekunden fest, nachdem eine Remoteunterstützungseinladung erlischt.

Als Beispiel, der Eintrag zum Deaktivieren der Remoteunterstützung:

[PCHealth]

RA_AllowToGetHelp = 0

Weitere Informationen zur unbeaufsichtigten Installation oder zur Installation mit Hilfe von RIS finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“.

http://support.microsoft.com/?kbid=300692

Verwendung von Gruppenrichtlinien

Es gibt zwei Gruppenrichtlinieneinstellungen, mit deren Hilfe die Verwendung der Remoteunterstützung konfiguriert werden kann:

Angeforderte RemoteunterstützungVerwenden sie diese Richtlinieneinstellung für die Festlegung, ob eine angeforderte Remoteunterstützung von einem Computer aus eingeleitet werden kann oder nicht. Unter angeforderte Remoteunterstützung versteht man die explizite Anforderung des Benutzers eines Computers nach Hilfe durch eine andere Partei (die "Experte" genannt wird).

Wichtig Wenn sie diese Richtlinie deaktivieren unter Windows XP SP1, sind Remoteunterstützung Anbieten und die unangeforderte Remoteunterstützung ebenfalls deaktiviert. Diese Tatsache wird in einem späteren Release geändert.

Remoteunterstützung anbietenVerwenden Sie diese Richtlinieneinstellung um einem Support Team oder einem IT Administrator (Experte) die Möglichkeit zu geben, an einen Computer ein Angebot der Remoteunterstützung zu senden, ohne im Vorfeld explizit über E-Mail, eine Datei oder Instant Messenger dazu aufgefordert worden zu sein.

Diese Richtlinieneinstellungen finden sich unter Computerkonfiguration\Administrative Vorlagen\System\Remoteunterstützung. In der folgenden Tabelle sind die Konfigurationsoptionen dieser Richtlinien beschrieben:

Richtlinieneinstellung Beschreibung

Angeforderte Remoteunterstützung (aktiviert)

Wenn diese Einstellung aktiviert ist, ist auf diesem Computer eine angeforderte Remoteunterstützung zugelassen. Ein Anwender kann Hilfe anfordern, und ein Experte kann eine Verbindung mit dem Computer herstellen. Man beachte, dass durch Senden einer Hilfeanforderung der Experte nicht explizit die Erlaubnis erhält, eine Verbindung zum Computer herzustellen und/oder ihn zu kontrollieren. Wenn der Experte versucht, eine Verbindung herzustellen, hat der Anwender immer noch die Möglichkeit, die Verbindung zuzulassen oder abzulehnen (wodurch der Experte nur Lesezugriffe auf dem Desktop des Benutzers durchführen kann) und muss anschließend explizit auf eine Schaltfläche klicken, damit der Experte die Fähigkeit erhält, den Desktop zu kontrollieren, wenn eine Remoteüberwachung aktiviert ist.

Wenn die Einstellung aktiviert ist, stehen weitere Konfigurationsmöglichkeiten zur Verfügung.

Angeforderte Remoteunterstützung (deaktiviert)

Wenn diese Einstellung deaktiviert ist, ist keine angeforderte Remoteunterstützung möglich. Das bedeutet, dass ein Anwender keine Anforderung nach Unterstützung senden kann und ein Experte als Antwort auf eine Benutzeranfrage keine Verbindung zum Computer herstellen kann.

Angeforderte Remoteunterstützung (nicht konfiguriert)

Wenn diese Einstellung nicht konfiguriert ist kann der einzelne Anwender die angeforderte Remoteunterstützung über die Systemsteuerung konfigurieren. Die Standardeinstellungen über die Systemsteuerung sind: Angeforderte Remoteunterstützung ist aktiviert, Benutzerunterstützung ist aktiviert, Remoteüberwachung ist aktiviert und die maximale Ticketzeit ist 30 Tage.

Remoteunterstützung anbieten (aktiviert)

Wenn diese Einstellung aktiviert ist, kann Remoteunterstützung angeboten werden. Wenn diese Einstellung konfiguriert ist, stehen folgende zwei Konfigurationsmöglichkeiten zur Verfügung: "Helfer

dürfen den Computer nur ansehen" oder "Remoteüberwachung dieses Computers zulassen". Zusätzlich zu dieser Auswahl können Sie die Liste der Anwender bzw. Benutzergruppen festlegen, für die das Anbieten der Remoteunterstützung zugelassen ist. Dies sind die so genannten „Helfer“. Administratoren können standardmäßig Remoteunterstützung anbieten; sie müssen nicht explizit in die Liste aufgenommen werden.

Remoteunterstützung anbieten (deaktiviert oder nicht konfiguriert)

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können Anwender bzw. Gruppen keine nicht zugelassene Remoteunterstützung für diesen Computer anbieten.

Für zusätzliche Konfigurationsoptionen schauen sie über den Gruppenrichtlinieneditor in die Richtlinieneinstellungen der Remoteunterstützung. Für zusätzliche Informationen über den Gruppenrichtlinieneditor sie Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“.

Deaktivierung der Remoteunterstützung

Dieser Abschnitt stellt Administratoren Verfahren zum Deaktivieren der Remoteunterstützung vor:

Gruppenrichtlinieneinstellungen Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um


Klicken sie Computerkonfiguration, klicken sie Administrative Vorlagen, klicken sie System und dann klicken sie Remoteunterstützung.

Im Detailfenster doppelklicken sie Angeforderte Remoteunterstützung.

In der Dialog Box der angeforderten Remoteunterstützung wählen sie deaktiviert.

Klicken sie Übernehmen und dann Nächste Einstellung.

In der Dialogbox Remoteunterstützung anbieten wählen sie deaktiviert.

Systemsteuerung In der Systemsteuerung doppelklicken sie System.

Klicken sie auf den Karteireiter Remote.

Unter Remoteunterstützung deaktivieren sie Ermöglicht das Senden von Remoteunterstützungsanforderungen.

Unbeaufsichtigte Installation mit Antwortdatei1. Verwenden sie Ihre bevorzugte Methode der unbeaufsichtigten oder Remoteinstallation und

erzeugen sie eine Antwortdatei. Weitere Informationen zur unbeaufsichtigten Installation oder zur Installation mit Hilfe von RIS finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“.

2. Im Abschnitt [PCHealth] der Antwortdatei fügen Sie folgenden Eintrag hinzu:

RA_AllowToGetHelp = 0

Der Such-AssistentIn diesem Abschnitt werden folgende Themen behandelt:

Die Vorzüge des Such-Assistenten

Wie der Such-Assistent mit dem Internet kommuniziert

Wie Sie die Kommunikation des Such-Assistenten mit dem Internet steuern können

Vorteile und Nutzen

Der Webdienst Such-Assistent ermöglicht es dem Anwender auf seinem Computer nach Dateien und Verzeichnissen, im internen Netzwerk nach Dateien, Personen und anderen Computern, sowie im Internet nach Informationen zu suchen. Der Such-Assistent nutzt den Indexdienst, um ein Verzeichnis aller Dateien des Computers zu erhalten und die Suche dadurch zu beschleunigen.

Bei der Nutzung des Such-Assistenten kann der Anwender seine Suchkriterien eingrenzen. Als Beispiel können Sie eine Datei oder ein Verzeichnis anhand des Namens, des Typs oder der Größe suchen. Sie können Dateien anhand der letzten Änderung finden oder Sie suchen nach Dateien, die einen speziellen Text enthalten. Bei der Suche nach Informationen im Internet suchen erlaubt der Such-Assistent dem Anwender seine Suchanfrage in natürlicher Sprache zu verfassen (formlos oder dialogorientiert). Der Such-Assistent schlägt dann den besten Weg vor um die Suche durchzuführen und sendet die Anfrage an die Internetdienste, die wahrscheinlich die besten Ergebnisse erziele werden.

Überblick

Wenn der Anwender mit Hilfe des Such-Assistenten das Internet durchsucht werden folgende Informationen gesammelt:

Der Text der Suchanfrage

Grammatikalische Informationen über die Anfrage

Die Liste der Aufgaben (Vorschläge), die der Such-Assistent empfiehlt, um die Suche zu verfeinern

Alle Aufgaben, die der Anwender aus der Vorschlagliste ausgewählt hat

Der Such-Assistent sammelt nicht:

Persönliche Informationen

Demografische Informationen

Microsoft nutzt die gesammelten Informationen nicht, um den Anwender eindeutig zu identifizieren und auch nicht in Verbindung mit anderen Datenbeständen, die persönliche Informationen enthalten. Microsoft sammelt keine Daten, wenn der Anwender in seinem lokalen System, im LAN oder im Intranet sucht.

Der Such-Assistent prüft bei bestehender Internetverbindung, ob neuere Dateien für ihn vorlegen, um diese bei Bedarf zu installieren. So hält sich der Webdienst auf dem neuesten Stand.

Wenn Sie den Such-Assistent deaktivieren wollen, können Sie dies, indem Sie zur klassischen Internetsuche wechseln. Microsoft Windows sammelt keine Informationen über Suchanfragen, wenn die klassische Suche genutzt wird. Ebenso kann der Such-Assistent durch Ändern der Registrierung deaktiviert werden. Die Anleitungen für beide Methoden folgen in einem späteren Abschnitt dieses Whitepapers.


Der Such-Assistent in Microsoft Windows XP Professional Service Pack 1 (SP1) verbessert den Suchvorgang durch Konsolidierung der Suchaufgaben, Optimieren der Suche für die häufigsten Anfragen, sowie über Optionen für eine verfeinerte Suche

Die vom Anwender erstellten Suchkriterien werden an eine ASP-Seite gesendet, welche die Suchergebnisse anzeigt. Die Suchseite nutzt eine Kombination aus XML, Microsoft Visual Basic® Entwicklungssystem, Scripting Edition (VBScript) und Microsoft JScript® Entwicklungssoftware um Zugang zu den Suchobjekten zu erhalten. Da das Script serverseitig ausgeführt wird, kann der Anwender die Suchseite mit jedem Browser betrachten.

Der Such-Assistent nutzt XML-Dateien um zwischen der Benutzeroberfläche und einigen Funktionsparametern der Anfragen zu unterscheiden (ein Beispiel: Welche Liste von Dateierweiterungen umfasst die Kategorie „Musik“). Zu Beginn einer jeden Suche, die eine XML-Datei einbezieht, prüft der Such-Assistent, ob es eine neuere Version dieser XML-Datei auf sa.windows.com gibt. Diese Überprüfung ist eine Download-Anfrage basierend auf dem Datum der letzten Änderung der Datei. Wenn es sich lokal um eine ältere Version handelt, lädt der Such-Assistent die aktuellere Datei herunter. Die XML-Dateien befinden sich in länderspezifischen Unterverzeichnissen von \Windows\srchasst. Sollte der Anwender keine administrativen Rechte besitzen, kann die alte XML-Datei nicht überschrieben werden.

Dieser Abschnitt beschreibt alle Aspekte der durch den Such-Assistent gesendeten und empfangenen Daten, sowie über die Art des Austausches der Informationen:

Spezifische gesendete oder empfangene Informationen: Wenn Sie das Internet mit dem Such-Assistenten durchsuchen, werden die folgenden Informationen hinsichtlich Ihrer Nutzung des Dienstes gesammelt: Der Text Ihrer Internet Suchanfrage, grammatikalische Informationen der Anfrage, die Liste der Aufgaben die durch den Such-Assistenten vorgeschlagen werden und alle durch Sie ausgewählten Angaben aus der Auswahlliste

Voreingestellte und empfohlene Einstellung: Der Such-Assistent ist standardmäßig aktiviert.

Starten: Der Anwender wählt Start\Suchen\Im Internet\

Benachrichtigung des Benutzers: Es ist keine Einrichtung im Such-Assistent zur Nutzerüberprüfung oder zur Benachrichtigung über gesendete Daten vorhanden. Anwender können aber wahlweise gänzlich das senden von Nachrichten durch deaktivieren des Such-Assistent unterbinden.

Persönlich identifizierbare Anwender: Der Anwender wird nicht eindeutig identifiziert. Sitzungsbasierte Cookies werden genutzt, um Statusinformationen zu speichern, wobei diese zufällig erzeugten GUIDs nicht über Browsersitzungen hinweg bestehen bleiben.

Protokollierung: Es werden keine Informationen bei der Suche im lokalem System, LAN oder Intranet gesammelt. Die einzige „Speicherung“ ist im Internet Information Service(IIS) Log der Dateianfrage. Der Such-Assistent zeichnet nicht Ihre Wahl von Internet Suchmaschinen auf und es sammelt keine persönlichen oder demografischen Informationen oder fragt diese ab.

Verschlüsselung: Es werden keine Daten verschlüsselt

Zugang: Keine Benutzerinformationen werden erfasst. Die IIS Protokolle unterliegen einem jährlichen Zyklus, was bedeutet, dass die Protokolle für zwölf Monate beibehalten und in dem darauf folgendem dreizehnten Monat verworfen werden.

Datenschutzrichtlinie: Die Datenschutzrichtlinie befindet sich auf folgender Internetseite:

sa.windows.com/privacy/

Übertragungsprotokoll und Anschluss: Übertragungsprotokoll ist HTTP und der verwendete Anschluss 80.

Funktion deaktivieren: Die Eigenschaft kann mit dem Umschalten zur klassischen Suche deaktiviert werden.

http://sa.windows.com/privacy/


Sie können den Such-Assistenten deaktivieren, indem Sie die Einstellungen auf klassische Suche im Internet ändern. Ebenfalls ist es Ihnen möglich den Such-Assistenten manuell in den Registrierungseinträgen zu ändern. Verfahren für beide Varianten werden im Folgenden beschrieben.

Konfiguration

Der Such-Assistent kann, wie vorher beschrieben, auf verschiedene Weise konfiguriert werden. In diesem Abschnitt wird aufgelistet, wie die Funktionen in Übereinstimmung mit den Sicherheitsrichtlinien Ihrer Organisation verändert oder deaktiviert werden können.

Umschalten auf klassische Suche1. Klick Start und danach Suchen.

2. Klicken Sie Bevorzugte Einstellungen Ändern.

3. Klicken Sie Internet-Suchverhalten ändern.

4. Klicken Sie Klassische Internetsuche.

Deaktivierung in der Registrierung1. Starten Sie den Registrierungseditor (Regedt32.exe).

2. wechseln sie zum folgenden Schlüssel in der Registrierung: HKEY_CURRENT_ANWENDER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState

3. Ändern Sie den Wert Use Search Asst auf "No".

Windows FehlerberichterstattungIn diesem Abschnitt werden folgende Themen behandelt:

Die Vorzüge der Windows Fehlerberichterstattung

Wie die Windows Fehlerberichterstattung mit dem Internet kommuniziert

Steuern der Fehlerberichterstattung um einen Informationsaustausch zum oder vom Internet zu verhindern

Vorteile und Nutzen

Die Fehlerberichterstattung von Windows XP Professional Service Pack 1 (SP1) ist ein Dienst, der es Microsoft erlaubt, Fehler in Bezug auf das Betriebsystem, Windows-Komponenten und Anwendungen zu verfolgen und zu benennen. Dieser Dienst, Fehlerberichterstattung genannt, gibt Benutzern die Möglichkeit Daten zu Fehlern an Microsoft zu senden und Informationen über diese zu erhalten. Außerdem ist es ein wichtiges Werkzeug zur Problemlösung, welches Entwicklern die zeitnahe Analyse von Kundenproblemen ermöglicht und dabei hilft die Produkte von Microsoft in ihrer Qualität zu verbessern.

Über die Daten, die Anwender an Microsoft senden, kann Microsoft in einigen Fällen Informationen zurückgeben, wie zum Beispiel eine Anleitung zum Umgang mit einem Problem oder einen Link zu einer Web-Site für Treiber-Updates, Patches oder Artikel in der Microsoft Knowledge Base.

Überblick

In Windows XP SP1 ist die Fehlerberichterstattung standardmäßig aktiviert und Anwender können System- und Anwendungsfehler an Microsoft berichten, wenn sie dies wünschen. Sobald ein Fehler auftritt erscheint eine Dialogbox, die es dem Anwender erlaubt das Problem zu berichten. Wenn der Anwender auswählt das Problem zu berichten, werden die technischen Informationen über das Problem gesammelt und dann über das Internet an Microsoft versandt. Es werden keine Informationen versandt, wenn der Anwender nicht bestätigt, dass der Fehlerbericht an Microsoft versandt werden soll.

Anwender können die Fehlerberichterstattung unter Systemsteuerung\System\Erweitert konfigurieren oder deaktivieren. Sie können die Fehlerberichterstattung so konfigurieren, dass sie speziell nur Systemfehler, Fehler von Windows-Komponenten (wie Windows Explorer, Paint oder Microsoft Internet Explorer), oder von Anwendungen wie Microsoft Word, sendet.

Da die Fehlerberichterstattung einen sinnvollen Dienst darstellt, wird die Deaktivierung nicht empfohlen, allerdings sollten Sie kontrollieren, welche Informationen berichtet werden und von wem Sie gesendet wurden. Für eine Organisation mit einem Bewusstsein für Datenschutz wird empfohlen die Fehlerberichterstattung vor dem Versand an Microsoft zu prüfen und zu filtern.

Die beste Methode den automatischen Informationsfluss der Fehlerberichterstattung zum und vom Internet zu verhindern ist, die Fehlerberichte via Gruppenrichtlinie zu einem Server in Ihrem Intranet umzuleiten und Corporate Error Reporting (CER) einzurichten. Sie können die Fehlerberichterstattung über verschiedenste Aspekte so konfigurieren, dass Sie die Art der Berichterstattung kontrollieren.

Obwohl es nicht empfohlen ist, können Sie auch die Fehlerberichterstattung auf den Client-Computern komplett deaktivieren.

IT Administratoren können CER nutzen, um Fehlerberichte, die auf einen Server im Netzwerk umgeleitet worden sind, zu verwalten. Sie benötigen das Werkzeug zum Durchsuchen der Fehlerberichte und filtern dann basierend auf Ihren Richtlinien und den Fehlerberichtsdaten, welche

Berichte an Microsoft gesendet werden. Das Werkzeug ist ebenfalls hilfreich um die häufigsten Problem zu bestimmen.

Sie können Windows XP SP1 auch während einer unbeaufsichtigten Installation für die Fehlerberichterstattung konfigurieren. Wenn es in Ihrer Organisation notwendig ist, die Fehlerberichterstattung vollständig zu deaktivieren, so können Sie dies mit einer Antwortdatei oder über Gruppenrichtlinieneinstellungen erreichen. Für weitere Informationen bezüglich dieser Methoden schauen Sie weiter unten in diesem Abschnitt unter „Steuerung der Kommunikation über das Internet“.


Die von Microsoft gesammelten Daten werden nur zur Problemanalyse und –lösung herangezogen. Die Informationen werden in einer sicheren Datenbank mit limitiertem Zugriff gespeichert. Dieser Abschnitt beschreibt verschiedene Varianten der Daten, die durch die Fehlerberichterstattung über das Internet ausgetauscht werden.

Spezifische gesendete oder empfangene Informationen: Für Windows XP SP1 sammelt Microsoft Informationen zu zwei Fehlertypen: Anwender-Modus- oder Anwendungsfehler und Kernel-Modus- oder Betriebssystemfehler. Informationen, die den Anwender identifizieren, können unbeabsichtigterweise als Teil eines Absturzberichtes gesammelt werden. Diese Informationen, wenn vorhanden, werden nicht genutzt, um den Anwender zu kontaktieren. Eine Beschreibung der gesammelten Daten finden Sie im Folgenden.

Empfohlene und standardmäßige Einstellung: Die Fehlerberichterstattung für Anwendungs- und Systemfehler ist standardmäßig auf Computern mit Windows XP SP1 aktiviert. Für nähere Informationen über die empfohlenen Einstellungen schauen Sie weiter unten in diesem Abschnitt: „Steuern der Fehlerberichterstattung um einen Informationsaustausch zum oder vom Internet zu verhindern.“

Starten: Die Möglichkeit einen Fehlerbericht zu senden wird durch Anwendungs- oder Systemfehler ausgelöst.

Benachrichtigung des Benutzers: Eine Dialogbox erscheint, die den Anwender auf einen erkannten Fehler aufmerksam macht und nachfragt, ob er den Fehlerbericht an Microsoft senden will. Anwender können die zu sendenden Daten durchsehen.

Protokollierung: Die Beschreibung der System- und Anwendungsfehler werden in der Ereignisanzeige festgehalten.

Verschlüsselung: Alle Daten die Persönliche Informationen enthalten können werden während der Übertragung verschlüsselt (HTTPS). Die „Absturzsignatur“, die einige Informationen, wie Anwendungsname und Version, Modulname und Version und Speicherbereich enthalten werden nicht verschlüsselt.

Zugang: Nur ausgewählte Mitarbeiter, für die Betriebsgründe zum Analysieren der Informationen vorliegen, haben Zugang zu den Daten.

Datenschutzrichtlinie: Die Datenschutzrichtlinie für Microsoft Fehlerberichte befindet sich auf der folgenden Internet Seite:

watson.microsoft.com/dw/1033/dcp.asp

Details der Richtlinie werden später in diesem Abschnitt unter “Typen der gesammelten Daten” vorgestellt.

Übertragungsprotokoll und Anschluss: Übertragungsprotokoll ist HTTP und Anschluss 80 sowie HTTPS und Anschluss 443

Funktion deaktivieren: Die Funktionalität kann über eine Gruppenrichtlinie oder jeder Anwender für seinen eigenen Computer deaktivieren

Fehlerbericht Typen

http://watson.microsoft.com/dw/1033/dcp.asp

In Windows XP SP1 werden zwei Typen von Fehlermeldungen protokolliert. Anwender Modus und Kernel Modus

Anwender-Modus-Berichte

Wenn im Benutzermodus ein Fehler auftritt, wie z.B. ein Anwendungsfehler, wird durch die Fehlerberichterstattung folgendes in Gang gesetzt:

Eine Alarmmeldung wird angezeigt, die angibt, dass Windows XP ein Problem festgestellt hat Anwender können wählen, ob sie ein Problem berichten wollen oder nicht. Wenn sie es berichten, sehen sie ebenfalls, dass die Informationen an Microsoft gesendet werden.

Einen Problembericht an Microsoft senden.

Anwender werden dann nach weiteren Computerinformationen befragt und nochmals ob sie die Informationen versenden wollen oder nicht. Wenn Sie die Daten versenden wollen, wird der Fehlerberichtsdienst den Fehlerbericht an Microsoft versenden. Anwender können dann nach weiteren Informationen zu Komplettierung des Fehlerberichts befragt werden. Wenn dies abgeschlossen ist haben Anwender die Möglichkeit weitere Informationen zu erhalten, die sie zu Treiber-Updates, Patches oder Microsoft-Knowledge-Base-Artikeln führen.

Wenn der Fehlerbericht Hinweise darauf enthält, dass Produkte anderer Hersteller als Microsoft mit diesem Problem in Verbindung stehen, sendet Microsoft den Bericht an die jeweiligen Firmen. Qualifizierte Software- oder Hardwareentwickler (bei Microsoft oder einem seiner Partner angestellt) analysieren die Fehlerdaten und korrigieren das Problem.

Kernel-Modus-Berichte

Wenn ein Kernel-Modus- oder Systemfehler auftritt erscheint eine Stopp-Meldung von Windows XP SP1 und gleichzeitig werden Diagnoseinformationen in eine Speicherabbilddatei geschrieben. Wenn der Anwender seinen Computer im Normalmodus oder im Sicherheitsmodus (mit Netzwerk) startet und sich bei Windows XP anmeldet erfasst der Fehlerbericht die Informationen des Problems und zeigt eine Dialogbox mit der Option den Bericht an Microsoft zu senden.

Gesammelte Datentypen

Die Fehlerberichterstattung sammelt IP-Adressen, welche nicht zur Identifizierung des Benutzers herangezogen werden. Es werden keine persönlichen Informationen gesammelt. Es ist jedoch möglich, dass einige Informationen im Speicher oder in den gesammelten Daten von geöffneten Dateien enthalten sind, doch Microsoft nutzt diese nicht, um Anwender zu identifizieren.

In seltenen Fällen, z.B. bei Problemen, die sich als besonders schwer zu lösen erweisen, fragt Microsoft weitere Daten ab, die Teile des Speichers (der gemeinsam genutzte Speicher einer oder aller genutzten Anwendungen zum dem Zeitpunkt des Auftretens des Problems), Einstellungen in der Registrierung, sowie verschiedene Dateien auf dem Computer des Benutzers umfassen können. Wenn die weiteren Daten abgefragt wurden, kann sich der Anwender diese Daten durchsehen und entscheiden, ob die Informationen gesendet werden sollen oder nicht.

Welche Daten von Windows XP SP1 bei Anwendungs- oder Kernel-Fehlern gesammelt werden, wird nachfolgend beschrieben.

Anwendungsfehler

Bei einem Anwendungsfehler sammelt die Fehlerberichterstattung folgende Informationen:

Die Digitale Produkt-ID, die dazu genutzt werden kann, Ihre Lizenz zu identifizieren

Informationen über den Zustand von Computer und Anwendung, zum Zeitpunkt des Auftretens des Fehlers. Dies beinhaltet Daten im Speicher, Informationen über Dateien im Anwendungsverzeichnis, genauso wie die Version des Betriebssystems und der genutzten Hardware. Diese Informationen werden in kleines Speicherabbild geschrieben. Das Speicherabbild beinhaltet Folgendes

Ausnahme-Informationen: Diese Informationen betreffen das aufgetretene Problem. Sie geben Microsoft Aufschluss über die Anweisung, die durch die Anwendung angenommen wurde und zum Fehler führte.

Systeminformationen: Diese Daten beinhalten die Art der genutzten CPU (Prozessor) und welches Betriebssystem verwendet wird.

Eine Liste aller gegenwärtig geladenen Module und deren Versionsinformationen.

Eine Liste aller Threads die gegenwärtig laufen. Für jeden Thread werden Kontext- und Stack-Informationen gesammelt.

Globale Daten.

Das Speicherabbild wird hexadezimal dargestellt.

Anmerkung Für die exakte Spezifikation des Speicherabbildes besuchen Sie die Web-Site des Microsoft Developers Network (MSDN).

Windows Kernel-Fehler

Der Windows Kernel-Fehlerbericht beinhaltet Informationen darüber, was Ihr Betriebssystem gerade tat als das Problem auftrat. Dieser Ereignisbericht fasst das Minimum an Informationen zusammen um identifizieren zu können, warum das Betriebssystem unerwartet stoppte. Der Bericht enthält:

Den Namen des Betriebssystems (z.B. Microsoft Windows XP).

Die Version des Betriebssystems (z.B. 5.1.24260.0).

Die Sprache des Betriebssystems als lokale ID (LCID) (als Beispiel 1033 für Englisch – Vereinigte Satten). Dies ist die standardisierte, internationale, numerische Abkürzung.

Geladene und kürzlich entladene Treiber. Dies identifiziert die durch den Kernel geladenen Module beim Auftreten des Fehlers, sowie zuvor geladene Module.

Die Liste der Treiber im Treiberordner Ihrer Festplatte. Z.B. C:\Winnt\System32\Drivers für Windows 2000.

Die Dateigröße, das Erstellungsdatum, die Version, den Hersteller und den vollen Produktnamen eines jeden Treibers.

Die Anzahl aller vorhandenen Prozessoren.

Die Größe des Arbeitsspeichers (RAM).

Der Zeitstempel der angibt, wann der System-Stopp erfolgte.

Die Meldungen und Parameter, die den System-Stopp beschreiben.

Eine Zusammenfassung über den Prozessorzustand zum Zeitpunkt des Stopp-Vorgangs. Diese beinhaltet den Prozessor, den Hardwarezustand, Leistungszähler, Multiprozessor-Paket-Informationen, Informationen über verzögerte Prozeduraufrufe und Unterbrechungen (Anfragen von Software oder Geräten nach Prozessorzeit)

Die Prozessinformationen und Kernel-Zusammenfassungen für den angehaltenen Prozess. Dies beinhaltet die Offset-Information der Verzeichnistabelle und der Datenbank, die Informationen über jede physikalische Einheit (Speicherblock) im Betriebssystem enthält.

Die Prozessinformationen und Kernel-Zusammenfassungen für den gestoppten Thread. Die Informationen identifizieren die Register (Datenspeicherblocks im Prozessorspeicher) und Interrupt-Request-Level-Anfragen und beinhalten Pointer auf Datenstrukturen der Betriebssystemdaten.

Der Kernel-Modus ruft den Stack des unterbrochenen Threads auf. Dies ist eine Datenstruktur, welche aus einer Reihe von Speicherbereichen und den Pointern auf den ursprünglichen Ort besteht.


Es gibt zwei Möglichkeiten die Fehlerberichte so zu konfigurieren, dass der automatische Informationsaustausch über das Internet verhindert wird, wenn die Fehlerberichterstattung ausgelöst wird. Bei der Einrichtung von Windows XP SP1 nutzen Sie Antwortdateien für die Remote- oder unbeaufsichtigte Installation. Nach erfolgter Einrichtung konfigurieren Sie die Fehlerberichterstattung mit Hilfe von Gruppenrichtlinien.

Unbeaufsichtigte Installation

Sie können die Fehlerberichterstattung mit Standardmethoden der Remote- oder unbeaufsichtigten Installation konfigurieren. Der Abschnitt [PCHealth] einer Antwortdatei ist der Abschnitt in der die Funktionen eingetragen werden müssen. Die folgende Tabelle beschreibt diese Einträge.

Einträge zum Konfigurieren der Fehlerberichterstattung in einer Antwortdatei (für eine unbeaufsichtigte Installation)

Eintrag Beschreibung

ER_Display_UI Setup benachrichtigt den Anwender, dass ein Fehler aufgetreten ist und zeigt Details des Fehlers. Wenn der Eintrag ER_Display_UI = 0 lautet, wird der Anwender nicht über aufgetretene Fehler informiert..

ER_Enable_ApplicationsER_Include_EXE(n)undER_Exclude_EXE(n)

ER_Enable_Applications = AllBerichtet Fehler für alle Anwendungen außer für diejenigen, die in ER_Exclude_EXE(n). aufgelistet sind.

ER_Enable_Applications = ListedBerichtet Fehler nur für die Anwendungen, die in ER_Include_EXE(n) aufgelistet sind. Sie können automatisch alle Microsoft Anwendungen einbeziehen wenn Sie ER_Include_MSApps nutzen.

ER_Enable_Applications = NoneEs werden keine Fehler berichtet

Beispiel für aufgelistete Einträge von einbezogenen Anwendungen:ER_Include_EXE1 = iexplore.exeER_Include_EXE2 = explorer.exe

Beispiel für aufgelistete Einträge von ausgeschlossenen Anwendungen:ER_Exclude_EXE1 = calc.exeER_Exclude_EXE2 = notepad.exe

ER_Enable_Kernel Errors Spezifiziert, ob Windows Kernel-Fehler berichtet werden. Wenn der Eintrag ER_Enable_Kernel Errors = 0 lautet, berichtet Windows keine Fehler des Windows Kernel.

ER_Enable_Reporting Spezifiziert, ob Windows aufgetretene Fehler automatisch berichtet. Wenn der Eintrag ER_Enable_Reporting = 0 lautet, berichtet Windows keine Fehler.

ER_Enable_Windows_ Components

Spezifiziert, ob Windows-Komponentenfehler berichtet werden. Wenn der Eintrag ER_Enable_Windows_Components = 0 lautet, berichtet Windows keine Windows-Komponentenfehler. Zum ausschließen einzelner Komponenten nutzen Sie ER_Exclude_EXE(n), das weiter oben in der Tabelle beschrieben wird.

ER_Force_Queue_Mode Spezifiziert, ob vorliegende Berichte im Warteschlangemodus versendet werden. Lautet der Eintrag ER_Force_Queue_Mode = 0 werden die Berichte nicht in ihrer Reihenfolge versandt.

ER_Include_MSApps Spezifiziert, ob Fehler in Microsoft Anwendungen verfolgt und berichtet werden. Lautet der Eintrag ER_Include_MSAps = 0, werden die Fehler der Microsoft Anwendungen nicht verfolgt und berichtet.

ER_Include_Shutdown_ Errs Spezifiziert, ob ein Fehler beim Herunterfahren berichtet wird. Lautet der Eintrag ER_Include_Shutdown_Errs = 0 werden Fehler beim Herunterfahren nicht berichtet.

Weitere Informationen zur unbeaufsichtigten Installation oder zur Installation mit Hilfe von RIS finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“. Sehen Sie auch die Informationen in der Deploy.chm Datei an (der genaue Ort ist im Anhang aufgeführt).

Gruppenrichtlinieneinstellungen

Um unternehmensweite Fehlerberichterstattung zu aktivieren wird das Ausführen dieser Schritte empfohlen:

Konfigurieren Sie die Fehlerbericht-Richtlinieneinstellungen in den Gruppenrichtlinien so, dass die Fehlerberichte an einen Server im Intranet geleitet werden.

Nutzen Sie das Fehlerberichtstool, um Berichte zu filtern.

Es wird empfohlen die Fehlerberichte in den Gruppenrichtlinien zu aktivieren, weil Sie damit die Aktionen, die der Anwender getätigt hat, überschreiben und die Fehlerberichte an einen Server Ihres Intranets leiten können, anstatt sie über das Internet zu versenden. Sobald Sie die zentrale Fehlerberichterstattung eingerichtet haben, können Sie das Werkzeug zur Verwaltung ihrer Fehlerberichterstattung nutzen.

Als Erweiterung zu den Richtlinieneinstellungen der Fehlerberichterstattung beinhaltet dieser Abschnitt eine Liste von erweiterten Fehlerbericht-Richtlinieneinstellungen, die Sie für eine erweiterte Konfiguration nutzen können.

Richtlinieneinstellungen für die Fehlerberichterstattung

Um Clients für die unternehmensweite Fehlerberichterstattung zu konfigurieren, müssen Sie zuerst die Richtlinieneinstellung Fehler melden aktivieren. Sobald Sie die Richtlinieneinstellung aktiviert haben, können sie einen Dateipfad zu einem Server in Ihrem Intranet angeben, Daten, die im Falle eines Fehlers über das Internet ausgetauscht werden, beschränken, und kontrollieren wie Anwender mit der Fehlerberichterstattung umgehen.

Einstellungen der Gruppenrichtlinien zur Konfiguration der Fehlerberichterstattung

Richtlinieneinstellungen Was wird bewirkt Konfigurationsoptionen

Fehler melden (aktiviert) Wenn "Fehlerbenachrichtigung anzeigen" aktiviert ist, wird der Anwender darüber benachrichtigt, dass ein Fehler aufgetreten ist und erhält Zugriff auf Einzelheiten über den Fehler. Wenn die Einstellung "Fehler melden" ebenfalls aktiviert ist, hat der Anwender außerdem die Wahl, den Fehler zu melden.

Folgende Einstellungen stehen zur Auswahl:

Keine von Microsoft angebotenen Web-Sites bezüglich "Weiterer Informationen" anzeigen

Keine zusätzlichen Dateien sammeln

Keine zusätzlichen Computerdaten sammeln

Warteschlangenmodus für Anwendungsfehler erzwingen

Folgende Parameter können Sie eintragen:

Dateiuploadpfad für zentrale Fehlerberichte

Instanzen des Worts "Microsoft" ersetzen durch:

Fehler melden (deaktiviert)

Wenn "Fehler melden" deaktiviert ist, hat der Anwender nicht die Möglichkeit, Fehler zu melden. Wenn die Einstellung "Fehlerbenachrichtigung anzeigen" aktiviert ist, wird der Anwender eine Nachricht erhalten, dass ein Fehler aufgetreten ist, er hat jedoch nicht die Möglichkeit, den Fehler zu melden.

Wenn Sie diese Einstellung nicht konfigurieren, kann der Anwender die Einstellung über die Systemsteuerung vornehmen, die bei Rechnern mit Windows XP Personal und Windows XP Professional standardmäßig auf "Berichterstattung aktivieren" und bei Servern auf "Berichterstattung deaktivieren" eingestellt ist.

Keine Angabe

Fehler melden (nicht konfiguriert)

Wird die Einstellung aktiviert, werden alle über die Systemsteuerung vorgenommenen Einstellungen für die Fehlerberichterstattung überschrieben. Wenn diese Einstellung aktiviert ist, werden für alle nicht konfigurierten Fehlerberichterstattungs-Richtlinien Standardwerte verwendet (auch, wenn Einstellungen über die Systemsteuerung vorgenommen wurden).

Keine Angabe

Fehlerbenachrichtigung anzeigen (aktiviert)

Wenn "Fehlerbenachrichtigung anzeigen" aktiviert ist, wird der Anwender darüber benachrichtigt, dass ein Fehler aufgetreten ist und erhält Zugriff auf Einzelheiten über den Fehler. Wenn die Einstellung "Fehler melden" ebenfalls aktiviert ist, hat der Anwender außerdem die Wahl, den Fehler zu melden.

Keine Angabe

Fehlerbenachrichtigung anzeigen (deaktiviert)

Wenn "Fehlerbenachrichtigung anzeigen" nicht aktiviert ist, hat der Anwender nicht die Möglichkeit, den Fehler zu melden. Wenn die Einstellung "Fehler melden" aktiviert ist, wird der Fehler automatisch gemeldet, aber der Anwender wird nicht davon informiert, dass ein Fehler aufgetreten ist.

Die Deaktivierung dieser Einstellung ist bei Servern nützlich, die keine interaktiven Anwender haben.)

Keine Angabe

Fehlerbenachrichtigung anzeigen (nicht konfiguriert)

Wenn Sie diese Einstellung nicht konfigurieren, kann der Anwender die Einstellung über die Systemsteuerung vornehmen.

Keine Angabe

Weitere Informationen zu Gruppenrichtlinien finden Sie in der Windows-Hilfe und in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien.“

Erweiterte Richtlinieneinstellungen

Wenn Sie die Fehlerberichterstattung aktivieren, können Sie die Fehlertypen, über die berichtet werden soll, wählen. In einer stark verwalteten Umgebung wollen Administratoren dies sicher basierend auf der Art von Informationen, wie sie in den Fehlerberichten enthalten sind, erledigen (vgl. hierzu „Gesammelte Datentypen“ weiter oben in diesem Abschnitt).

Für Details zu den Fehlerbericht-Einstellungen konsultieren Sie „Konfiguration“ weiter unten in diesem Abschnitt. Für die erweiterten Fehlerberichte können Sie die folgenden Richtlinieneinstellungen konfigurieren:

Standardeinstellungen der Anwendungsfehlerberichterstattung

Liste der Anwendungen, für die immer Fehler gemeldet werden sollen

Liste der Anwendungen, für die nie Fehler gemeldet werden soll

Betriebssystemfehler melden

Nicht geplante Herunterfahrereignisse melden

Wenn Sie diese Richtlinieneinstellungen konfigurieren, werden alle durch den Anwender im Bedienfeld vorgenommenen Anpassungen der Fehlerberichterstattung überschrieben.

Weitere Informationen über den Gruppenrichtlinieneditor finden Sie in Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“.

Auswirkungen

Was der Anwender sehen kann, wenn an seinem Computer ein Fehler auftritt hängt davon ab, wie Sie die Fehlerbericht Richtlinieneinstellungen konfiguriert haben. Abhängig davon welche Richtlinieneinstellungen sie aktiviert haben und welche Optionen Sie konfiguriert haben, können Sie die unterschiedlichsten Eingaben von Benutzern zu den Informationen der Fehlerberichte erhalten, oder gar keine. Sie können wählen, ob Anwender kein Benutzerinterface bekommen, wenn ein Fehler auftritt, oder Sie können den Anwender benachrichtigen, dass ein Fehler aufgetreten ist, geben aber nicht die Möglichkeit einen Bericht zu senden.

Ein anderer Faktor der das Benutzerinterface betrifft ist, wie Sie die folgenden Richtlinieneinstellungen konfiguriert haben. Liste der Anwendungen für die immer ein Fehler gemeldet werden soll und Liste der Anwendungen für die nie ein Fehler gemeldet werden soll. Für weitere Informationen über diese Richtlinieneinstellungen schauen Sie unter „Verfahren zur Konfiguration von Fehlerberichten“ und „Verwandte Links“ weiter unten in diesem Abschnitt.

Die folgende Tabelle präsentiert zwei Beispiele von dem was der Anwender sieht, wenn ein Fehler auftritt und wenn Sie die Richtlinieneinstellung zur Fehlerberichterstattung aktiviert haben, sowie Sie einen Pfad zu einem Server eingetragen haben. Die erste Option zeigt die empfohlenen Richtlinieneinstellungen.

Versenden der Fehlerberichte an einen Intranet-Server

Konfigurationsoptionen Benutzerinterface

Fehler melden aktiviert; Dateiuploadpfad eingetragen; Fehlerbenachrichtigung anzeigen aktiviert

Anwender nimmt Notiz von einem Fehler

Der Anwender wird nach weiteren Daten befragt

Der Bericht geht an einen Server im Intranet

Fehler melden aktiviert; Dateiuploadpfad eingetragen; Fehlerbenachrichtigung anzeigen nicht aktiviert

Kein Benutzerinterface

Berichte gehen automatisch an einen Server im Intranet

Konfiguration

Dieser Abschnitt beschreibt das empfohlene Verfahren zur Aktivierung von unternehmensweiten Fehlerberichten mit Hilfe von Gruppenrichtlinien für Administratoren, die den Informationsaustausch über das Internet kontrollieren wollen. Dieser Abschnitt skizziert ebenso ein Verfahren zum Auffinden von Gruppenrichtlinien, Einstellungen für Fehlerberichte und ein Verfahren zur Konfiguration von Fehlerberichten während einer unbeaufsichtigten Installation von Windows XP SP1 unter Verwendung einer Antwortdatei.

Zentrale Fehlerberichte aktivieren1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe, um

Gruppenrichtlinien zu konfigurieren, je nachdem ob Sie diese auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden möchten. Weitere Informationen zu Gruppenrichtlinien finden Sie in der Windows-Hilfe und in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien.“

2. Öffnen Sie Computerkonfiguration\Administrative Vorlagen\System\Fehlerberichterstattung

3. Im Detailbereich des Fensters öffnen Sie Fehlerbenachrichtigung anzeigen und setzen Sie diese Einstellung auf aktiviert.

4. Klicken Sie auf Nächste Einstellung.

5. Setzen Sie die Einstellung Fehler melden auf aktiviert.

6. Unter Dateiuploadpfad für zentrale Fehlerberichte tragen Sie einen UNC Pfad ein (\\Servername\Freigabename).

Hinweis Administratoren können dann die Fehlerberichte mit dem CER-Tool (Corporate Error Reporting) filtern. Wie dies funktioniert, ist einem vorhergehendem Abschnitt „Steuerung der Kommunikation über das Internet” beschrieben.

Nutzen sie die folgenden Verfahren zum Auffinden der Gruppenrichtlinieneinstellungen, die weiter oben in „Einsatz von Gruppenrichtlinien“ beschrieben sind.

Gruppenrichtlinieneinstellungen1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe, um

Gruppenrichtlinien zu konfigurieren, je nachdem ob Sie diese auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden möchten. Weitere Informationen zu Gruppenrichtlinien finden Sie in der Windows-Hilfe und in Anhang B, „Informationsquellen für den Einsatz von Gruppenrichtlinien“.

2. Öffnen Sie Computerkonfiguration\Administrative Vorlagen\System\Fehlerberichterstattung

3. Im Detailbereich des Fensters öffnen Sie Fehlerbenachrichtigung anzeigen und setzen Sie diese Einstellung auf aktiviert.

4. Öffnen Sie Erweiterte Fehlerberichtseinstellungen. Weitere Informationen finden Sie in „Die erweiterten Richtlinieneinstellungen zur Fehlerberichtserstattung nutzen“.

Unbeaufsichtigte Installation mit Antwortdatei1. Nutzen Sie die Methoden, die Sie für eine unbeaufsichtigte oder Remoteinstallation bevorzugen

und erstellen Sie eine Antwortdatei. Weitere Informationen zur unbeaufsichtigten Installation oder zur Installation mit Hilfe von RIS finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“. Vergleichen Sie auch die Informationen in der Datei Deploy.chm (der genaue Ort ist im Anhang aufgeführt).

2. Im Abschnitt [PCHealth] der Antwortdatei erstellen sie Einträge entsprechend „Die unbeaufsichtigte Installation nutzen“ weiter oben in diesem Abschnitt

Verwandte Themen

Weitere Informationen über die Windows Fehlerberichterstattung finden Sie unter:

msdn.microsoft.com/library/default.asp?url=/library/en-us/debug/base/windows_error_reporting.asp

Das Corporate Error Reporting Tool finden Sie unter:

oca.microsoft.com/en/cerintro.asp

Die Microsoft Datenschutzrichtlinien für Fehlerberichte finden Sie unter:

watson.microsoft.com/dw/1033/dcp.asp

http://watson.microsoft.com/dw/1033/dcp.asp

http://oca.microsoft.com/en/cerintro.asp

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/debug/base/windows_error_reporting.asp

Windows Media PlayerDer folgende Abschnitt enthält Informationen über:

Die Leistung des Windows Media® Player

Wie der Windows Media Player mit den Seiten im Internet kommuniziert

Wie Sie die Kommunikation des Windows Media Player mit dem Internet steuern können

HINWEIS Dieser Abschnitt beschreibt die Version des Windows Media Players, die in Windows XP Professional SP1 enthalten ist. Andere Versionen des Windows Media Player können von der Version, die in diesem Abschnitt beschrieben wird, abweichen. Weitere Informationen finden Sie auf die Internetseite des Windows Media Player unter:www.microsoft.com/Windows/WindowsMedia/

Vorteile und Nutzen

Microsoft Windows Media Player (auch Player genannt) erlaubt es Benutzern, digitale Mediendateien auf ihrem Computer und im Internet zu spielen und zu organisieren. Anwender können CDs und DVDs abspielen (wenn die DVD Hardware vorhanden ist), eigene CDs erstellen, Radio hören, digitalen Mediendateien suchen und organisieren, sowie Daten auf ein tragbares Gerät kopieren.

Windows Media Player für Microsoft Windows XP Professional Service Pack 1 (SP1) erlaubt es Ihnen als Administrator den Player zu konfigurieren, um den Zugang zu bestimmten Endbenutzerfunktionen zu kontrollieren. Die Verwaltungs- und Einsatzfunktionen ermöglichen es Ihnen, maßgeschneiderte Medienfunktionalität für ihre Angestellten zu erstellen um die Produktivität zu erhöhen.

Für weitere Informationen über Einsatz und Verwaltung des Windows Media Player im Unternehmensumfeld, schauen Sie auf die Internetseite des Windows Media Player unter:

www.microsoft.com/Windows/WindowsMedia/

Überblick

Der Windows Media Player ist ein integraler Bestandteil von Windows XP und wird mit dem Betriebssystem installiert. Der Windows Media Player ist keine optionale Windows-Komponente und kann nicht deinstalliert werden. Sie können jedoch eine Antwortdatei verwenden, um Zugangspunkte zum Benutzerinterface zu verstecken. Sie können den Player ebenso anpassen, um bestimmte Funktionen verfügbar, zum Teil verfügbar, oder nicht verfügbar zu machen, in Übereinstimmung mit den Richtlinien Ihrer Organisation. Dieser Abschnitt des Dokuments beschreibt, wie der Windows Media Player mit dem Internet kommuniziert und wie Sie den Informationsfluss zum und vom Internet kontrollieren können. Es zeigt Ihnen Verfahren für die Nutzung der Gruppenrichtlinien, um das Benutzerinterface, das Abspielen, die Vernetzung, sowie Verfahren zur Nutzung der Registrierung zur Kontrolle der Player-Updates. Die folgende Tabelle fasst die Lösungen für verschiedene Sicherheitsansprüche zusammen.

Sicherheitsoptionen des Windows Media Player

Sicherheitsstufe Lösung

Höchste Sicherheit, geringste Flexibilität Zugangspunkte zum Windows Media Player werden versteckt. Weitere Informationen über das Verstecken der Zugangspunkte während einer unbeaufsichtigten Installation finden Sie unter „Konfiguration“ weiter unten in diesem Abschnitt.

Hohe Sicherheit, verlangt aber Investitionen in Zeit und Der Windows Media Player ist zwar verfügbar, stellt

http://www.microsoft.com/Windows/WindowsMedia/

http://www.microsoft.com/Windows/WindowsMedia/

Geld, um einen internen Windows Media Server zu implementieren.

aber nur den Zugang zum Intranet Media Server der Organisation bereit. Weitere Informationen finden Sie in der Windows-Hilfe, insbesondere die Hilfe, die zusammen mit den Windows-Media-Diensten installiert wird.

Gute Sicherheit. Benutzerzugang zum Internet ist limitiert. Benötigt Fachwissen darüber, welche externen Seiten vertrauenswürdig sind.

Liste (auf der Firewall, Proxy oder beidem), die ausschließlich solche Internetseiten beinhaltet, die für einen Zugang durch Clients zugelassen sind.

Gute Sicherheit, aber der Zugang zu Internetseiten ist nur für die Anwender vorhanden, die den Zugang am meisten benötigen. Eine Schulung ist Voraussetzung, um Anwender herauszufinden die verantwortlich handeln.

Nur bestimmte Anwender haben Zugang zum Internet. Alle anderen sind mit verschiednen Mitteln eingeschränkt.

Gute Sicherheit. Flexibel, benötigt aber Investitionen in Geld und Ausbildung für eine Firewall oder Proxy-Serverimplementierungen.

Genau abgestimmte Einstellungen auf der Firewall, dem Proxy-Server oder auf beidem.

Mäßige Sicherheit, mäßige Flexibilität. Nutzen Sie die Gruppenrichtlinieneinstellungen (auf einem Server) um den Windows Media Player auf den Clients zu konfigurieren. Weitere Informationen finden Sie unter „Steuerung der Kommunikation über das Internet“ und „Konfiguration“ weiter unten in diesem Abschnitt.

Geringste Sicherheit, aber größte Flexibilität Freier Zugang für alle


Der Windows Media Player wird auf dem lokalen Arbeitsplatzrechner geöffnet wenn der Anwender durch das Startmenü navigiert oder auf einen Shortcut klickt. Standardmäßig öffnet der Windows Media Player dann bei bestehender LAN- oder Modem-Verbindung, die Seite www.WindowsMedia.com. Wenn die Verbindung hergestellt ist, stellt WindowsMedia.com die folgenden neun Schlüsselfunktionen bereit.

Metadaten-Abfrage

Metadaten-Eingabe

Media Guide

Radioempfänger

Codec-Download

Player Update

Newsletter-Abonnement

Herunterladbare Designs (Skins)

Herunterladbare Visualisierungen

Um das Abspielen von sicheren Inhalten zu unterstützen kontaktiert der Windows Media Player ebenfalls:

Lizenzserver für Digital Rights Management (DRM), die nicht von Microsoft betrieben werden

Den Microsoft DRM-Upgrade-Dienst

Andere, allgemeine Internetverbindungen, die durch den Windows Media Player aufgebaut werden, gehen zu Windows Media Servern, die durch Inhaltsanbieter betrieben werden.

Die folgende Liste beschreibt verschiedene Aspekte des Informationsaustauschs über das Internet:

Spezielle gesendete oder empfangene Informationen: Die eben aufgelisteten Schlüsselfunktionen von WindowsMedia.com übermitteln Informationen zwischen dem Internet und dem Computer des Benutzers wie folgt:

Lizenzserver für Digital Rights Management (DRM), die nicht von Microsoft betrieben werden. Der Lizenzserver ermöglicht es Benutzern, Lizenzen zum Abspielen von Inhalten zu erhalten, die mit der DRM-Technologie von Microsoft geschützt sind. Der Prozess zum Erhalt einer Lizenz erneuert die Ausschluss- und Widerrufsliste des Benutzers. Diese Liste wird benötigt, um kompromittierten Anwendungen den Zugang zu sicheren Inhalten zu versperren.

Der Microsoft DRM-Upgrade-Dienst. Der Upgrade-Dienst unterstützt Anwender mit der Option ihre DRM Komponenten zu aktualisieren, falls der gesicherte Inhalt es nötig macht, aktualisierte Komponenten zu verwenden (z.B. eine individualisierte Blackbox).

Der Windows Media Server von Inhaltsanbietern betrieben. Um Media-Datenströme bereitzustellen ist es für den Windows Media Player erforderlich direkt mit dem Media Server zu kommunizieren. Diese Server werden typischerweise von unabhängigen Inhaltsanbietern betrieben und stehen nicht unter der Kontrolle von Microsoft.

Metadaten Abfrage. Die abgefragten Metadaten, enthalten die Albumgestaltung, den Titel, Liedtexte und selbst Künstlerbiografien, werden übermittelt und in der Medienbibliothek für den Offline Betrieb gespeichert.

Metadaten Eingabe. Ein Dienst der es dem Anwender ermöglicht Korrekturen an die WindowMedia.com Metadatendatenbank zu übermitteln. Ein Cookie (wenn dies nicht verhindert wird), CD Inhalt oder DVD Identifikation und die vom Anwender korrigierten Metadaten werden gesendet.

Der Media Guide. Der Media Guide ist eine Liste von Web-Sites, die sich mit Media-Datenströmen beschäftigen, die in der Windows-Media-Player-Schnittstelle bereitgestellt wird. Ein Cookie wird gesendet (falls dies nicht verhindert wird). Die Internetseite des Media Guide von WindowsMedia.com wird zurückgegeben.

Der Radioempfänger. Der Radioempfänger ist eine Liste von Internetseiten, die sich mit Radiosendern im Internet beschäftigen und die in der Windows-Media-Player-Schnittstelle bereitgestellt werden. Ein Cookie wird gesendet(falls dies nicht verhindert wird). Die Radioempfänger-Internetseite wird mit Vorgaben (falls Cookies nicht verhindert werden) zurückgegeben.

Codec herunterladen. Ein Dienst, der es Benutzern ermöglicht, gewisse Codecs während des Abspielens zu erhalten, wenn diese nicht im System des Benutzers vorhanden sind. Ein Cookie und der Codec werden gesendet. Wenn vorhanden wird der Codec zurückgegeben und installiert. (Ein Codec, Kurzform für Komprimierung/Dekomprimierung, ist eine Software, die Audio oder Videodaten komprimiert oder dekomprimiert).

Player Update. Ein Dienst der es Benutzern ermöglicht Windows-Media-Player-Komponenten Updates zu finden und zu bekommen. Ein Cookie (falls dies nicht verhindert wird) und eine Versionsnummer der Windows-Media-Player-Komponenten werden versandt. Wenn Komponenten vorhanden sind und der Anwender dem zustimmt, werden die Komponenten zurückgegeben und installiert. Der automatische Test und die manuellen Update-Optionen stehen nur dem Anwender mit administrativen Rechten zur Verfügung

Rundschreiben Aktualisierung. Der Media Guide stellt einen Link zum MSN-Newsletter Dienst bereit, um Benutzern die Aktualisierung des WindowsMedia.com-Newsletter zu ermöglichen. Ein MSN-Cookie und die E-Mail-Adresse des Benutzers werden direkt an den Rundschreibendienst von MSN versandt.

Herunterladbare Designs. Zusätzliche Designs erhalten sie auf einer Internetseite, die extra Erscheinungsbilder zum Download bereithält. Bereitgestellt wird dies in der Schnittstelle des Windows Media Player. Ein Cookie wird dabei versendet. Die Internetseite mit dem Design zum Herunterladen wird zurückgegeben.

Herunterladbare Visualisierungen. Zusätzliche Visualisierungen erhalten Sie auf einer Internetseite, die extra Visualisierungen zum Download bereithält. Bereitgestellt wird dies in der Schnittstelle des Windows Media Player. Ein Cookie wird dabei versendet. Die Internetseite mit den Visualisierungen wird zurückgegeben.

Medienbibliothek. Die Medienbibliothek listet die Sammlung von Audio- und Videodaten des Benutzers auf, sowie Quellen für Audio und Video. Auf diese Informationen kann durch andere Software auf dem Computer des Benutzers oder aus dem Internet zugegriffen werden.

Cookies. Der Windows Media Player nutzt das Internet als Informationsquelle. Beim Zugang zum Internet werden Cookies auf den Computer des Benutzers herunter-, oder zu einem Media-Dienst hochgeladen.

Protokollierung. Es gibt 2 Arten von Protokollierung, die wie folgt erstellt werden:

Original-IIS-Log: Ein IIS-Log, das alle Anfragen an den Server protokolliert. Dieses Log beinhaltet die IP-Adresse des Clients und ein Cookie und wird nicht verschlüsselt.

Verfolgungs-Log: Dieses Log beinhaltet alle Anfragen. Es beinhaltet die IP-Adresse des Clients und ein Cookie. Es ist weder verschlüsselt noch mit persönlich identifizierbaren Informationen versehen.

Empfohlene und standardmäßige Einstellungen: Alle Funktionen des Windows Media Player sind standardmäßig aktiviert. Dennoch sind nicht alle Optionen, wie z.B. die GUID die den Player eindeutig identifizieren, standardmäßig aktiviert. Empfohlene Einstellungen werden im nächsten Abschnitt. „Wie Sie die Kommunikation des Windows Media Player mit dem Internet steuern können.“

Benutzerbenachrichtigung und Aktion. Die WindowsMedia.com Funktionen werden individuell durch verschiedene Benutzeraktivitäten gesteuert, die im folgendem aufgelistet sind. Der Anwender muss oder muss nicht angemeldet sein, dies ist abhängig davon, welche Funktionen jeweils ausgeführt werden sollen.

Metadaten Abfrage.

Benachrichtigung. Der Anwender wird nicht benachrichtigt.

Aktion. Wenn der Anwender zum ersten Mal eine CD oder DVD einlegt oder wenn der Anwender nach detaillierten Informationen fragt (als Beispiel beim Betätigen der Schaltfläche Medien Details), werden Informationen automatisch von WindowsMedia.com abgefragt.

Metadaten Eingabe.


Aktion. Wenn der Anwender korrigierte Metadaten im CD Assistenten eingibt, werden diese Informationen an WindowsMedia.com gesendet.

Media Guide.


Aktion. Der Media Guide wird automatisch gestartet, wenn der Player mit der Option des Media Guide Modus gestartet wird oder wenn der Anwender den Media Guide aus dem Menü auswählt.

Radioempfänger.


Aktion. Wenn der Anwender den Radioempfänger aus dem Menü auswählt, wird der Bildschirm mit den Radiosendern angezeigt.

Codec herunterladen.

Benachrichtigung. Es gibt keine Windows Media Player Nachricht in einem Dialogfenster.

Aktion. Ein Sicherheitsdialog wird erscheinen, wenn die Seite nicht vertrauenswürdig ist. In der Statuszeile wird angezeigt, dass ein Codec heruntergeladen wird.

Player update.

Benachrichtigung. Der Anwender wird benachrichtigt. Der Anwender wird befragt, ob er das Update herunterladen will, kann dieses aber auch ablehnen.

Aktion. In bestimmten Abständen, wenn der Anwender online und als Administrator eingeloggt ist, wird eine Überprüfung nach Updates für Windows Media Player Komponenten durchgeführt.

Rundschreibenaktualisierung.

Benachrichtigung. Der Anwender wird benachrichtigt, obwohl der Anwender das Rundschreiben nicht abonniert haben muss.

Aktion. Die Aktion wird ausgeführt, wenn der Anwender „Den kostenlosen Newsletter abonnieren” im Media Guide auswählt.

Herunterladbare Designs.

Benachrichtigung. Nachdem der Anwender seine Auswahl getroffen hat, bekommt er eine Fortschrittsanzeige eingeblendet.

Aktion. Der Anwender wählt “weitere Designs” vom Designmenü, was Ihn zur Downloadseite weiterleitet. Wenn der Anwender ein Design auswählt wird es heruntergeladen.

Herunterladbare Visualisierungen.

Benachrichtigung. Der Anwender sieht eine Fortschrittsanzeige, nachdem er seine Auswahl getroffen hat

Aktion. Der Anwender wählt “ Visualisierungen“ von Extras\Download\Visualisierungen und wird dadurch auf die Web-Site der herunterladbaren Visualisierungen gelenkt. Wenn der Anwender eine Visualisierung auswählt, wird sie heruntergeladen.

Medienbibliothek.


Aktion. Die Aktion wird ausgelöst, wenn Sie durch WindowMedia.com oder andere Anbieter erworbene Medien zur Bibliothek von WindowMedia.com oder von einem anderen Anbieter hinzufügen. Der Zugang kann unter Extras\Optionen in der Medienbibliothek ausgeschaltet werden.

Cookies.


Aktion. Die Aktion wird automatisch ausgelöst, wenn Sie auf eine Internetseite zugreifen. Das herunterladen von Cookies kann in den Internetoptionen auf dem Datenschutzreiter verhindert werden.

Protokollierung: Die Datenerfassung tritt dann ein, wenn Informationen vom Player zu einem Media Server gesendet werden. Die Datenerfassung informiert den Server mit verschiedenen einzelnen Informationen, so dass der Dienst verbessert werden kann. Die Informationen beinhalten Details wie z.B. die Uhrzeit der Verbindung, die Internet (IP) Adresse der mit dem Server verbunden ist (typischerweise durch Network Address Translation NAT oder einen Proxy). Weiterhin sind die Version, Identifikationsnummer (ID) das Datum und das Protokoll des Windows Media Player enthalten. Die meisten Informationen sind weder einmalig noch bis zum Computer des Benutzers zurückverfolgbar. Für mehr und detaillierte Informationen über den Austausch von Informationen im Windows Media Player lesen Sie die Erklärung zur Datensicherheit im Hilfemenü.

Verschlüsselung: Windows Audio Medien können unter Nutzung der Secure-Audio-Path-Funktion im DRM verschlüsselt werden. Die sicheren Audio Pfad Funktionen behalten die Audio Verschlüsselung über die Player Anwendung hinaus bei. Dies ist eine Funktion von Microsoft, die die Sicherheit und den Schutz digitaler Musik, die mit DRM Technologie verschlüsselt wurde, aufrechterhält. Der sichere Audio Pfad stellt eine Infrastruktur bereit, um den Kopierschutz auf Musik aufrecht zu halten. Der Client kann schrittweise den Inhalt eines Web-Servers mit HTTPS

herunterladen. Der Client und der Server müssen beide Internet Protocol Security (IPSec) nutzen um die Pakete die das Netzwerk durchlaufen zu verschlüsseln.

Datenschutzrichtlinie: Microsoft Windows Media Player und WindowsMedia.com haben beide Erklärungen zum Datenschutz über Details der Datensammlung und Verfahren veröffentlicht. Diese Dokumente finden sie an folgenden stellen:

Angaben zum Datenschutz von Windows Media Player auf:

www.microsoft.com/windows/windowsmedia/software/v8/privacy.asp

Angaben zum Datenschutz von WindowsMedia.com auf:

windowsmedia.com/privacy/privacystatement.asp

Übertragungsprotokoll: Mit Windows Media Player können sie spezifisch auswählen, welche Protokolle beim Empfang von Streaming-Daten von einem MMS(Microsoft Media Server)-URL genutzt werden:

Hinweis Die Protokollauswahl ist nur dann effektiv wenn das MMS-Rollover beteiligt ist. Wenn das SDK versucht einen MMS-URL zu öffnen, wird automatisch das beste Protokoll zum einholen der Daten ausgewählt, wenn die existierende Firewall-Konfiguration so spezifiziert ist. Beim ersten Mal öffnet das Software Development Kit (SDK) eine MMS-URL und kontaktiert den Server, indem er versucht, das MMS-Protokoll über das User Datagram Protocol (UDP) zu nutzen. Schlägt diese fehl wird MMS über TCP verwendet. Schlägt dies ebenfalls fehl unternimmt es einen letzten Versuch unter Nutzung von HTTP. Diesen Prozess nennt man „Protocol Rollover“

Multicast. Router blockieren den Multicastverkehr über das Intranet

UDP. UDP wird über Anschluss-Zuweisung genutzt, falls dies aufgrund einer Firewall oder eines Proxys nötig sein sollte. Wenn die UDP-Option bei leerem UDP-Anschluss-Eingabefeld gesetzt ist, verwendet der Player die Standard-Anschlüsse zum Abspielen des Inhaltes von einem MMS-URL. Wenn die UDP-Option nicht markiert ist, wird das UDP-Anschluss-Eingabefeld ignoriert. Nutzen Sie NAT in Ihrem Netzwerk, so wird der UDP-Transport fehlschlagen und sollte daher deaktiviert werden.

TCP

HTTP. Wenn das HTTP Protokoll gewählt wurde, wird es genutzt um die Streaming Media Daten von einem MMS-URL zu empfangen. Streaming Media-Daten von einem MMS-URL, die UDP oder TCP benötigen, können nicht abgespielt werden.

Ist kein Protokoll ausgewählt, kann der Inhalt eines MMS-URL nicht abgespielt werden.

Anschluss: Der Windows Media Player Client über zufällig gewählte Anschlüsse die durch das Betriebssystem vorgegeben werden.

Übertragungsprotokoll und Anschluss: Übertragungsprotokoll HTTP und Anschluss 80.

Microsoft Media Server (MMS) UDP oder TCP: Anschluss 1755.

Bei einer TCP-Verbindung wird nur ein Socket erstellt. Dafür benötigen Sie nur eine Anschluss-Nummer auf dem Client und eine auf dem Server. Kommandos (z.B. Play, Pause, schnelles Vorspulen) und Daten (Audio und Video) werden über dieselbe Socket-Verbindung gesendet. Bei einer UDP-Verbindung macht der Client jedoch eine TCP-Verbindung zum Server und sendet Kommandos darüber. Dann öffnet der Server einen UDP-Socket zum Client. Über diesen zweiten Socket werden die Audio- und Videodaten gesendet und gerade dieser zweite Sockel ist es, der typischerweise von Firewalls und Proxys blockiert wird.

Wenn die im Unternehmensnetzwerk implementierte Firewall verhindert, dass Anwender Datenströme über UDP oder TCP erhalten, kann der Windows Media Player so konfiguriert werden, dass er mit Firewalls zusammenarbeitet, wie in der folgenden Auflistung beschrieben.

Windows Media Player und Firewalls: Der Windows Media Player nutzt normalerweise UDP/IP auf einem weiten Anschluss-Bereich (diese Anschluss-Nummer werden später in dieser Liste mitgeteilt). Microsoft ist sich der eventuellen Sicherheitsrisiken bewusst, die ein Bereich dieser Größe verursachen kann, so dass Streaming auch über einen einzigen Anschluss (1755) möglich

http://www.windowsmedia.com/privacy/privacystatement.asp

http://www.microsoft.com/windows/windowsmedia/software/v8/privacy.asp

ist. Für die Seiten, für die es ein Problem darstellt, einen Anschluss aus dem nicht „bekannten Bereich“ zu öffnen, bietet der Windows Media ebenso die Möglichkeit zum Streaming über HTTP auf Anschluss 80. HTTP-Streaming ist standardmäßig deaktiviert. Diese Technologie war vormals als NetShow Player bekannt.

Firewall-Einstellungen für Windows Media Folgende Szenarien gilt es zu beachten:

Der Einsatz von Windows Media Player hinter einer Firewall, um Zugang zu Inhalten außerhalb der Firewall zu erhalten.

Der Einsatz von Windows Media Player außerhalb einer Firewall, um Zugang zu Inhalten auf einem Windows Media Server hinter einer Firewall zu erhalten.

Der Einsatz des Windows Media Encoder außerhalb einer Firewall, um mit einem Windows Media Server hinter einer Firewall zu kommunizieren oder um die Kommunikation von zwei Servern über die Firewall zu ermöglichen.

Der Einsatz des Windows Media Administrator außerhalb einer Firewall, um einen Windows Media Server hinter einer Firewall zu verwalten.

IP-Multicast

Der folgende Abschnitt des Dokuments beschreibt nur das erste und letzte Szenario. In den unten aufgeführten Beispielen ist der eingehende Anschluss derjenige, den der Server nutzt um die Firewall zu passieren. Der Ausgangs-Anschluss ist der Anschluss, den Microsoft Windows Media Player oder andere Clients nutzen, um mit dem Server zu kommunizieren. Die Auswahl erfolgt zufällig 1755.

Clients hinter einer Firewall konfigurieren Eine Firewall-Konfiguration, die es Benutzern mit Windows Media Player hinter einer Firewall erlaubt, Zugang zu einem Windows Media Servers außerhalb der Firewall zu erhalten.

ASF-Streaming mit UDP:Ausgehend: TCP auf 1755Ausgehend: UDP auf1755Eingehend: UDP auf den Anschlüsse 1024 bis 5000 (Zur Sicherheit sollten Sie die Anzahl der benötigten Client-Verbindungen schätzen und nur die entsprechende Anzahl an Anschlüsse öffnen).

ASF-Streaming mit TCP:Ein- und Ausgehend: TCP auf Anschluss 1755

ASF-Streaming mit HTTP:Ein- und Ausgehend: TCP auf Anschluss 80

IP-Multicast Die Entscheidung Windows-Media-Datenströme über IP-Multicast zu erlauben, entspricht der Entscheidung, den Datenverkehr des Standard-Klasse-D-IP-Adressbereiches zu erlauben (224.0.0.0 zu 239.255.255.255). Auf den meisten Routern ist IP-Multicast deaktiviert. Router-Hersteller fassten den Entschluss, IP-Multicast in den Gerätekonfigurationen zu deaktivieren, in einer Zeit, in der ein typisches Streaming mehr als 30 Prozent der Bandbreite eines 10BaseT-Netzwerks benötigte. (10BaseT ist ein Ethernet-Standard, in dem Twisted-Pair-Verkabelung zum Einsatz kommt – normalerweise in einer Stern- oder Maschentopolgie)

Microsoft arbeitet mit führenden Router-Herstellern an einer Änderung der Situation. Jetzt werden Mediendaten komprimiert und es existieren Standards, die unerwünschten Multicast-Datenverkehr ausschließen sollen. Das Internet Group Management Protokoll (IGMP), welches Windows Media unterstützt, garantiert, dass Multicast-Datenverkehr im Netzwerk nur dann erfolgt, wenn ein Client diesen anfordert. Windows-Media-Datenströme sind hoch komprimiert und benötigen gewöhnlich nur die Bandbreite einer einzelnen Modemverbindung.

Die folgende Firewall-Konfiguration aktiviert IP-Multicasting:

ASF-Streaming mit Multicast:IP-Multicast-Adressbereich: 224.0.0.1 bis 239.255.255.255Um IP-Multicast zu aktivieren, müssen Sie das Senden von Paketen an die Standard-Multicast-Adresse gestatten. Dieser IP-Multicast-Adressbereich muss Client- und Serverseitig aktiviert sein, genauso wie auf jedem dazwischen liegendem Router.

Funktion deaktivieren: Alle Schlüsselfunktionen sind standardmäßig aktiviert, jede Funktion kann jedoch im Menü Extras\Optionen des Windows Media Player oder durch Änderungen in den Registrierungseinträgen deaktiviert werden. Das Verfahren zum Deaktivieren der Schlüsselfunktionen wird weiter unten in diesem Abschnitt beschrieben. Weitere Informationen finden Sie unter „Einstellungen die durch die Gruppenrichtlinien kontrolliert werden können“ und „Verfahren zur Konfiguration des Windows Media Player“ weiter unten in diesem Abschnitt.

Eindeutige Nutzeridentifizierung: Der Windows Media Player fragt zu keiner Zeit irgendwelche persönlich identifizierbare Informationen(z.B. Namen, Adresse oder Telefonnummer) ab.


Die sicherste Methode zur Steuerung des Informationsflusses über das Internet ist, den Zugang zu den Einstiegspunkten des Windows Media Player während der unbeaufsichtigten Installation zu unterbinden. Individuelle Funktionen von Windows Media Player können auf zwei Arten kontrolliert werden. Einmal durch Extras\Optionen im Menü des Players oder durch den Einsatz von Gruppenrichtlinien. Die empfohlene Methode, um die Funktionen in einer verwalteten Umgebung zu kontrollieren, ist der Einsatz von Gruppenrichtlinien mit einer zusätzlichen Änderung in der Registrierung, um die Update-Funktion des Players zu verhindern. Die folgende Liste beschreibt Optionen, wie man den Windows Media Player durch das Benutzerinterface, durch die Gruppenrichtlinien und durch andere Mittel kontrollieren kann. Für weitere Details über die Konfiguration dieser Optionen finden Sie unter „Konfiguration“ weiter unten in diesem Abschnitt.

Einstellungen über die Benutzeroberfläche

Sie können Folgendes durch die Benutzeroberfläche des Windows Media Player kontrollieren:

Metadaten Abfrage: Legen Sie keine CD oder DVD ein, oder arbeiten Sie offline.

Metadaten Eingabe: Geben Sie keine Metadaten ein.

Media Guide: Entfernen Sie den Haken in der Checkbox Player auf Medienseite starten.

Radioempfänger: Verwenden Sie ein angepasstes Design ohne Radiozugang.

Codec herunterladen: Löschen oder setzen Sie die Checkbox Codecs automatisch downloaden.

Newsletter-Anmeldung: Verwenden Sie ein angepasstes Design. Entfernen Sie den Zugang zum Media Guide und entfernen Sie den Zugang zur Newsletter-Anmeldung.

Herunterladbare Designs: Verwenden Sie ein angepasstes Design, das die herunterladbaren Designs nicht anzeigt.

Herunterladbare Visualisierungen: Verwenden Sie ein angepasstes Design, das die herunterladbaren Visualisierungen nicht anzeigt.

Gruppenrichtlinieneinstellungen

Die folgenden Einstellungen für den Windows Media Player können durch Gruppenrichtlinien kontrolliert werden.

Benutzeroberfläche

Skin festlegen und fixieren

Sie können ein angepasstes Design nutzen, das den Zugang zu Funktionalitäten entfernt, die Sie kontrollieren oder einschränken möchten, insbesondere Radioempfänger, Media Guide, Anzeige der Designauswahl oder die Anzeige der herunterladbaren Visualisierungen

Keinen Anker anzeigen

Wiedergabe

Codec-Download Verhindern

Netzwerk

Registerkarte „Netzwerk“ ausblenden: Wenn Sie diesen Reiter verstecken, können die Anwender keine Netzwerkeinstellungen für den Windows Media Player konfigurieren.

Streaming Media-Protokolle: Die Protokolle die auswählbar sind, sind Multicast, UDP, TCP und HTTP. Dies wird weiter oben in diesem Abschnitt unter „Wie der Windows Media Player mit dem Internet kommuniziert“.

HTTP-Proxy konfigurieren: Diese Richtlinie wird ignoriert, wenn die Richtlinie "Streaming Media-Protokolle" aktiviert ist und HTTP nicht ausgewählt ist. Wenn diese Richtlinie deaktiviert ist, kann der HTTP-Proxy nicht verwendet werden und ein Anwender kann die HTTP-Proxy-Einstellungen auf der Registerkarte "Netzwerk" nicht ändern.

MMS-Proxy konfigurieren: Diese Richtlinie wird ignoriert, wenn die Richtlinie "Streaming Media-Protokolle" aktiviert ist und Multicast nicht ausgewählt ist. Wenn diese Richtlinie deaktiviert ist, kann der MMS-Proxy nicht verwendet werden und ein Anwender kann die MMS-Proxy-Einstellungen auf der Registerkarte "Netzwerk" nicht ändern.

Netzwerkpufferung konfigurieren Mit dieser Richtlinie wird festgelegt, dass die Standardnetzwerkpufferung oder eine spezielle Anzahl in Sekunden für die Pufferung von Datenstrommedien verwendet wird, bevor diese wiedergegeben werden.

Weitere Methoden zur Steuerung

Sie können verschiedene Aspekte des Windows Media Player mit anderen Mitteln kontrollieren, als die Benutzeroberfläche und die individuellen Gruppenrichtlinieneinstellungen für den Windows Media Player.

Sie können durch Gruppenrichtlinien verhindern, dass Anwender den Windows Media Player starten können indem Sie wmplayer.exe in die Liste der Windows Anwendungen aufnehmen, die nicht ausgeführt werden können. Weitere Informationen finden Sie weiter untern in diesem Abschnitt unter „Start von Windows Media Player verhindern“

Nutzen Sie eine Firewall, einen Proxy oder beides um den Zugang zur WindowsMedia.com Internetseite zu blockieren.

Nutzen sie den Registrierungsschlüssel “DisableAutoUpdate” um die automatische Update-Funktion im Windows Media Player zu deaktivieren. Weitere Informationen finden Sie weiter unten in diesem Abschnitt unter „Deaktivierung der Update-Funktion im Windows Media Player für Windows XP unter Nutzung des Registrierungsschlüssels“.

Konfiguration

Der Windows Media Player kann, wie vorher beschrieben, auf verschiedene Weise konfiguriert werden. Dieser Abschnitt stellt Verfahren bereit für:

Lokalisierung der Gruppenrichtlinieneinstellungen zur Konfiguration des Windows Media Player

Durch Gruppenrichtlinien verhindern, dass Anwender den Windows Media Player starten

Greifen Sie auf die Registerkarte „Netzwerk“ der Benutzeroberfläche des Windows Media Player zu (um die Media-Datenströme Protokolle einzustellen)

Nutzen Sie den Registrierungsschlüssel um die automatische Update-Funktion im Windows Media Player zu deaktivieren.

Entfernen sie sichtbare Eintrittspunkt zu Windows Media Player durch die Nutzung einer Antwortdatei für die unbeaufsichtigte Installation.

WICHTIG Um zu verhindern, dass Anwender den Windows Media Player manuell updaten, wird Empfohlen sicherzustellen, dass Anwender nicht mit administrativen Rechten auf ihrem Computer eingerichtet sind.

Gruppenrichtlinien zur Konfiguration des Windows Media Player1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um


2. Öffnen Sie Computerkonfiguration\Administrative Vorlagen\Windows Komponenten\Windows Media Player.

3. Im Detailbereich des Fensters sehen Sie Einstellungen, die Ihnen zur Verfügung stehen. Weiter Information zu diesen Einstellungen finden Sie unter „Einstellungen, die über die Gruppenrichtlinien kontrolliert werden können“ weiter oben in diesem Abschnitt.

Start des Windows Media Player verhindern1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um


2. Öffnen Sie Benutzerkonfiguration\Administrative Vorlagen\System

3. Im Detailbereich des Fensters öffnen Sie Windows Anwendungen nicht ausführen.

4. Wählen Sie Aktiviert, klicken Sie Anzeigen, dann Hinzufügen und geben den Namen der ausführbaren Datei wmplayer.exe an.

Streaming Media-Protokolle

Es gibt zwei Methoden, um Protokolle für Streaming Media einzustellen. Eine Methode, deren Verfahren im folgendem beschrieben wird, ist die Verwendung der Registerkarte „Netzwerk“.

Die zweite Methode ist der Einsatz von Gruppenrichtlinien. Weitere Informationen über den Einsatz von Gruppenrichtlinien finden sie weiter oben in diesem Abschnitt unter „Gruppenrichtlinieneinstellungen“.

Registerkarte „Netzwerk“ 1. Im Menüpunkt Extra klicken Sie auf Optionen und dann auf Netzwerk.

2. Folgende Optionen sind dort aufgelistet:

Protokolle. Spezifiziert die Protokolle, die der Windows Media Player nutzen kann, um Datenströme zu empfangen. Wählen Sie einen oder mehrere der folgenden Punkte:

Multicast

UDP

TCP

HTTP

Standardmäßig sind alle Protokolle ausgewählt, was bedeutet, dass der Player versucht, jedes dieser Protokolle für das Empfangen eines Datenstroms zu nutzen. Weil der Player mit einer Vielzahl von Protokollen Daten empfangen kann, wird empfohlen alle Protokolle auszuwählen.

Anschlüsse nutzen. Spezifiziert einen besonderen Anschluss oder Anschluss-Bereich der benötigt wird wenn UDP das Protokoll zum Empfang von Streaming Media Inhalten ist. Diese Option ist hilfreich, wenn Ihr Netzwerk oder der Firewall-Administrator einen spezifischen Anschluss für Streaming Media Inhalte die passieren dürfen eingerichtet hat. Standardmäßig versuchen die Windows Media-Datenströme die Firewall über Anschluss 1755 zu passieren.

Proxy-Einstellungen. Wählen Sie eine der folgenden:

HTTP

MMS

Die Proxy-Einstellungen spezifizieren, wie jedes Protokoll mit einem Proxy-Server arbeitet. Proxy-Server werden in Netzwerken benötigt, die durch eine Firewall geschützt sind. Wenn Ihr Netzwerk sich hinter einer Firewall befindet und Sie nicht wissen, wie Sie Ihre Einstellungen konfigurieren sollen, lesen Sie bitte auf den Punkt „Windows Media und Firewalls“ in der Liste unter „Kommunikation über das Internet“ oder fragen sie Ihren Netzwerkadministrator.

Konfigurieren: Klicken Sie auf diese Schaltfläche, um die Proxy-Einstellungen des gewählten Protokolls zu ändern. Im folgendem werden die Konfigurationsoptionen aufgelistet.

Konfigurationsoptionen

Diese Option Spezifiziert dies

Proxy-Einstellungen automatisch erkennen.

Der Player ermittelt die offenen Anschlüsse und nutzt diese zum Empfangen von Streaming Media-Inhalten.

Proxy-Einstellungen des Web-Browsers verwenden

Der Player nutzt dieselben HTTP Konfigurationen die auch Ihr Browser zur Netzwerkverbindung nutzt.

Keinen Proxy-Server verwenden

Der Player versucht nicht mit einem Proxy-Server zu kommunizieren. Typersicherweise bedeutet dies, dass der Player keine Streaming Media-Inhalte aus dem Internet empfängt.

Folgenden Proxy-Server verwenden

Der Player nutzt den Proxy-Server und Anschluss, der von Ihnen eingetragen wurde. Wählen Sie Proxy-Server für lokale Adressen umgehen, um den Proxy-Server nicht zu verwenden, wenn die Datenströme von lokalen Servern kommen.

Deaktivierung der Update-Funktion

Der Windows Media Player für Windows XP hat keine Gruppenrichtlinieneinstellung um die Update-Funktion zu deaktivieren. Es gibt eine andere Möglichkeit, die Sie nutzen können, um die automatische Update-Funktion zu deaktivieren, obwohl die administrativern Möglichkeiten, die oben umrissen wurden, empfohlen werden. Diese Möglichkeit besteht darin, den Registrierungschlüssel zum Deaktivieren der automatischen Update-Funktion zu verwenden. Eine manuelle Einstellung der Registrierung bedeutet jedoch, dass die Gruppenrichtlinien-Architektur nicht beachtet wird. Die Einstellung des Schlüssels wird im Folgenden beschrieben.

Einstellung des Registrierungsschlüssels1. Starten Sie den Registrierungseditor (Regedt32.exe).

2. Wählen Sie den folgenden Schlüssel in der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft

3. Im Bearbeiten Menü klicken Sie auf Schlüssel hinzufügen und fügen folgenden Schlüsselnamen hinzu. WindowsMediaPlayer

4. Nachdem Sie den WindowsMadiaPlayer Schlüssel hinzugefügt haben, wählen sie den WindowsMediaPlayer Schlüssel aus

5. Im Bearbeiten Menü klicken Sie auf Wert hinzufügen und für dann den folgenden Registrierungswert hinzu:

Wertname: DisableAutoUpdate

Datentype: REG_DWORD

Basis: Dezimal

Daten: 1


Der Windows Media Player hat weiterhin die Fähigkeit Codecs aus dem Internet herunterzuladen auch wenn die Player Updates deaktiviert sind.


Sichtbare Einstiegspunkte zum Windows Media Player mit Hilfe einer Antwortdatei während der unbeaufsichtigten Installation beseitigen.1. Nutzen Sie die von Ihnen bevorzugten Methoden für eine unbeaufsichtigte Installation oder eine

Installation mit RIS und erstellen Sie eine Antwortdatei. Weitere Informationen zur unbeaufsichtigten Installation oder zur Installation mit Hilfe von RIS finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“.

2. Im Abschnitt [Components] der Antwortdatei fügen Sie folgenden Eintrag ein:

WMPOCM = Off

Hinweis Dieser Eintrag löscht keinen Windows Code und auch keinen Windows Media Player Code – lediglich die sichtbaren Einstiegspunkte.

Windows MessengerDer folgende Abschnitt beinhaltet Informationen über:

Die Vorzüge des Windows Messenger

Wie der Windows Messenger mit dem Internet kommuniziert

Wie Sie die Kommunikation des Windows Messenger mit dem Internet steuern können

Vorteile und Nutzen

Der Windows Messenger erlaubt es Benutzern mit Ihren ausgewählten Kontakten zu kommunizieren und zusammenzuarbeiten. Der Windows Messenger Version 4.7 von Microsoft Windows XP Professional Service Pack 1 (SP1) bietet Echtzeitkommunikation (RTC) für Windows XP und ermöglicht nicht nur Instant Messaging, sondern ebenfalls Sprach- und Videokommunikation, gemeinsame Nutzung von Anwendungen, Whiteboard, Datentransfer, Remoteunterstützung

Überblick

In einer Internetumgebung benutzt der Windows Messenger die Passport-Infrastruktur für Verzeichnis- und Authentifizierungsdienste. In einer verwalteten Umgebung ist der Zugang zum Internet für diese Dienste nicht verfügbar oder nicht wünschenswert. Diese Infrastruktur wird mit dem Dienst Exchange 2000 Instant Messaging zur Verfügung gestellt, einer Komponente von Exchange 2000. Weitere Informationen über diesen Dienstfinden Sie unter:

www.microsoft.com/exchange/techinfo/administration/2000/ClientKeys.asp


Die Windows Messenger-Clients initialisieren eine Kommunikation zu jemand anderem über eine Serverkomponente, die die Client-Registrierung, Konfiguration und Anwesenheit (der Onlinestatus eines Benutzerkontaktes) bereitstellt. Die Serverkomponente fungiert als Vermittler einer Client – zu – Client Konfiguration, z.B. wenn Instant Messaging genutzt wird. Es gibt gegenwärtig eine Serverlösung für Internet-basierende Kommunikation (Microsoft.NET Messenger Service) und eine Serverlösung für Instant Messaging in Unternehmen (Microsoft Exchange 2000 Messaging Server).

Anwender des Windows Messenger können sich bei einer Auswahl an Servern oder Diensten registrieren und den Onlinestatus ihrer Kontakte abbonieren. Der Windows Messenger stellt diese Ressourcen durch die Unterstützung mehrer verschiedener Protokolle bereit, die später in diesem Abschnitt unter „Übermittlungsprotokoll“ aufgelistet sind.

Wichtige Dienste

Der Windows Messenger stellt drei Netzwerkdienste-Anbieter für die folgenden Dienste bereit:

.NET Messenger Service: Dieser Dienst ermöglicht es jedem Anwender mit einem Microsoft .NET-Passport-Zugang die Kommunikation über das Internet zu nutzen.

Exchange 2000 Instant Messaging Service: Dieser Dienst ist eine Komponente des Exchange 2000 Servers, der den Verzeichnisdienst Active Directory nutzt, um zusätzliche Sicherheit und kritische Identifikationskontrollen der Unternehmensbenutzer bereitzustellen. Exchange 2000 Instant Messaging nutzt dieselben MSN- oder Windows Messenger-Client-Benutzerschnittstellen wie der Microsoft .NET Messenger. Mit dem Windows Messenger Client Update für Exchange 2000 Instant Messaging sind Sie jedoch in der Lage beide Dienste,.NET Messenger und Exchange 2000 Instant Messaging, in Ihrer Organisation gleichzeitig zu kontaktieren.

http://www.microsoft.com/exchange/techinfo/administration/2000/ClientKeys.asp

IETF-SIP-Proxy-Dienste. Dies ist ein Kommunikationsdienstzugang, der in einer Organisation oder einem Netzwerk Instant Messaging bereitstellt. Die erstellten Kommunikationsdienste nutzen Session Initiaton Protocol (SIP). Dienstbasierendes Messaging und Anwesendheitserweiterungen, sind von Windows und anderen IP-Diensten erhältlich.

Der Windows Messenger kann mit verschiedenen Servertypen und Protokollen gleichzeitig arbeiten. Es könnte in einer verwalteten Umgebung angebracht sein, Exchange 2000 Instant Messaging für interne und den .NET Messenger für externe Kommunikation zu nutzen.

Der Rest dieses Abschnitts beschreibt verschiedene Aspekte der Daten, die zum und vom Internet durch den Windows Messenger gesendet werden und wie der Informationsaustausch von statten geht.

Spezifische gesendete oder erhaltene Informationen: Wenn der Anwender sich für den .NET Messenger Dienst anmeldet, fragt Microsoft den Passport-Mitgliedsnamen, die Telefonnummer (optional), die Liste der Kontakte zu dem oder von dem er Nachrichten wünscht und wechselseitige Informationen über diese Kontakte ab. Einige Benutzeroptionen, z.B. seine Datenschutzeinstellungen, werden gespeichert, damit diese Einstellungen verfügbar sind, wenn er sich von einem anderem Computer oder Gerät anmeldet. Bestimmte Informationen über die Computerhard- und -software werden automatisch durch den .NET Messenger gesammelt. Diese Informationen schließen IP-Adresse, Browsertyp und Betriebssystem ein. Die Informationen werden von Microsoft für den Arbeitsablauf des Dienstes, die Aufrechterhaltung der Qualität des Dienstes und für generelle Statistiken betreffend der Nutzung des .NET Messenger benötigt.

Der Windows Messenger sendet ebenfalls weniger offensichtliche Informationen

Änderungen im Anwesenheitsstatus

Typisierung des Anzeigeverkehrs während einer Konversation

Network Address Translation (NAT) für die PC-zu-Telefon Funktion

Universeller Plug-and-Play-NAT-Durchgangsverkehr

Standardmäßige und empfohlene Einstellungen: Standardmäßig ist die Kommunikation über interne und externe Netzwerke aktiviert. Da Informationen gesendet und empfangen werden, ist dies nicht sicher. Es wird jedoch empfohlen, dass der Zugang zu externen Netzwerken, wie z.B. das Internet, beschränkt wird.

Auslöser: Der Windows Messenger wird aufgerufen, wenn der Anwender auf das Bild in der Taskleiste doppelt klickt und sich das Windows Messenger-Fenster öffnet. Danach hat der Anwender Zugang zu allen Werkzeugen und Aktionen, die Ihm angeboten werden.

Benachrichtigung des Anwenders: Der Datenverkehr ist ein Teil des Windows Messenger und der Anwender erhält keine Notiz, wenn Informationen über das Internet gesendet oder empfangen werden.

Protokollierung: Auf dem Client findet keine Protokollierung statt.

Verschlüsselung: Es werden keine Informationen mit dem Windows Messenger verschlüsselt, mit Ausnahme der Passwörter. Alle Informationen werden im Klartextformat versandt und sind damit offen.

Zugang: Peer-to-Peer-Kommunikation nutzt den .NET Messenger, der Daten im Klartext über das Internet sendet und empfängt. Instant-Messaging-Gespräche werden durch einen Server an diesen Dienst weitergegeben. Senden und Empfangen von Daten im Klartext über das Internet bedeutet, dass keine Verschlüsselung oder ähnliche Sicherheitsfunktionen für diese Kommunikation genutzt werden.

Datenschutzrichtlinie: Microsoft hat für Windows Messenger hat eine Datenschutzerklärung veröffentlicht, welche die Praxis der Datensammlung und Nutzung detailliert beschreibt. Dieses Dokument ist für Anwender erhältlich unter:

messenger.microsoft.com/support/privacypolicy.asp

Die Datenschutzrichtlinie kann auch über die Windows Messenger-Benutzeroberfläche, und dort im Hilfe-Menü gefunden werden.

http://messenger.microsoft.com/support/privacypolicy.asp

Anschluss:

Audio und Video. Bei der Übertragung eine Audio-Video-(AV)Sitzung werden dynamische Anschlüsse für den Audio-Video-Datenstrom gewählt. Dynamische Anschlüsse werden benötigt, um der Anwendung zu erlauben, ungeachtet anderer auf dem System laufenden Anwendungen, die Anschlussressourcen beanspruchen, zu arbeiten. Die gegenwärtigen RTP-Datenströme senden unter Nutzung dynamisch zugewiesener UDP-Anschlüsse im Bereich von 5004 bis 65535. Ohne einen Weg, diese UDP-Anschlüsse auf der Firewall dynamisch passieren zu lassen, werden die Datenströme ihr Ziel nicht erreichen.

Gemeinsame Nutzung von Anwendungen und Whiteboard. Es wird ein spezifischer Anschluss für das Transmission Control Protocol (TCP) der Datenverbindung (1503) benötigt. Wenn sich der Client hinter einem NAT-Gerät befindet muss dieser Anschluss mit dem Client verbunden werden.

Instant Messaging. Um Ihren Netzwerkteilnehmer eine direkte Verbindung zum Instant Messaging Dienst zu ermöglichen müssen Sie:

Ausgehende TCP-Verbindungen auf Anschluss 1863 in Ihrem Proxy-Server öffnen.

Lassen Sie Ihre Netzwerkteilnehmer wissen, welche Art von Proxy-Server ihr Netzwerk benutzt (HTTP, SOCKS4 oder SOCKS5) und teilen Sie ihnen die Details zur Verbindung mit (einschließlich dem Servernamen und der Anschluss-Nummer), so dass sie diese Informationen über den Verbindungsreiter der Optionen-Dialogbox (Extras\Optionen) eintragen.

Stellen Sie sicher, dass Ihr lokales Netzwerk Zugang zu einem DNS-Server hat, um Namen externer Hosts, wie z.B. messenger.msn.com, aufzulösen.

Datentransfer:

Sowohl ein- als auch ausgehende TCP-Verbindungen nutzen den Anschluss-Bereich 6891 bist 6900. Dies erlaubt bis zu 10 gleichzeitige Datentransfers pro Absender. Wenn Sie nur den Anschluss 6891 öffnen ist es den Benutzern nur möglich, einen Datentransfer zurzeit durchzuführen.

Der TCP-Anschluss muss so konfiguriert werden, dass die Sockets auf einem Anschluss für längere Zeit offen bleiben.

Der Datentransfer kann möglicherweise nicht arbeiten, wenn Sie sich hinter einem NAT-Gerät befinden.

Übermittlungsprotokoll:

Anwesenheit. Anwesenheit in Windows Messenger informiert Anwender über den Onlinestatus der Menschen aus ihrer Kontaktliste. Wenn sich ein Anwender an dem Windows Messenger anmeldet, wird ein Versuch unternommen sich in jedem konfiguriertem Netzwerk zu verbinden. Obwohl jedes dieser Netzwerke unterschiedlich ist und evtl. unterschiedliche Protokolle nutzt ist das Resultat der Anmeldung, dass die Anwender in allen Netzwerken präsent registriert sind. Ein Teil dieses Prozesses beinhaltet das Errichten einer Verbindung mit einen Anwesenheits- und Rendezvous Dienst.

.NET Messenger und Exchange 2000 Instant Messaging. Es handelt sich um eine TCP-Verbindung, wobei die Protokolle, die über diese TCP-Verbindung genutzt werden um Anwesenheit zu unterstützen, unterschiedlich sind. Diese Verbindung wird für die Kommunikation inklusive Nachrichtenweiterleitung vom Instant Messaging genutzt. Wenn eine SIP-Serverlösung genutzt wird, wird gewöhnlich UDP für den Transport genutzt.

Instant Messaging. Instant Messaging ist eine Art der Kommunikation und Zusammenarbeit im Windows Messenger. Das Protokoll, welches für die Initialisierung und Kommunikation der Sitzung benötigt wird, ist abhängig vom Server oder vom Dienst, der genutzt wird. Für.NET Messenger oder Exchange 2000 Instant Messaging wird der Instant-Messaging-Text über eine TCP-Verbindung realisiert. Wenn ein SIP-Proxy-Server für Instant Messaging genutzt wird, kann der Server so konfiguriert werden, dass er den Text über TCP/UDP oder HTTP überträgt.

Sprache und Video. Sprache und Videogespräche, ein anderer Modus der Kommunikation und Zusammenarbeit im Windows Messenger, benötigen mehr als eine serververmittelte Sitzung. Eine Peer-to-Peer-Sitzung wird benötigt, um eine Überlastung des Servers zu vermeiden. In dieser Situation, werden die Server und Dienste zur Initialisierung der Sitzungsherstellung und die Medientyp-Übertragung mittels SIP und SDP benötigt. RTP wird über UDP zum Ausliefern der Sprach- und Videodatenströme verwendet.

Gemeinsame Nutzung von Anwendungen und Whiteboard. Verteilte Anwendungen und Whiteboard, ein Modus der Kommunikation und Zusammenarbeit im Windows Messenger, beginnen genauso wie die Sprach- oder Videositzung. Der Rendezvous-Dienst wird zum Austausch der ursprünglichen Aufforderung, gefolgt von einer SIP-Aufforderung und Bestätigung, in der die Sitzungsinformationen ausgetauscht werden, verwendet. Die Unterschiede zwischen AV und verteilter Anwendung und Whiteboard sind:

Der aktuelle Medienaustausch wird mit T.120 über eine TCP-Verbindung im Gegensatz zu UDP genutzt. (T.120 ist eine Spezifikation für Multipoint-Datenverbindungsdienste innerhalb Computeranwendungen der ITU (International Telecommunications Union)). Diese Verbindung wird durch den Angerufenen initialisiert.

Der Anschluss, der für die TCP-Verbindung benötigt wird, ist auf den angerufenen Stationen auf Anschluss 1503 gesetzt.

Dateitransfer. Dateitransfer ist eine Form der Kommunikation und Zusammenarbeit im Windows Messenger. Eine Dateitransfersitzung wird benötigt, wenn der Client eine Datei zu einem Partner senden möchte. Der Dateitransfer wird auf die gleiche Art initialisiert wie bei AV-Sitzungen, ohne die SIP-Einladung. Sobald die Sitzung durch einen Server konfiguriert wurde, findet der Datentransfer unter Nutzung einer TCP-Verbindung mit einem Peer-Partner über einen festgelegten Anschlussbereich statt.

Remoteunterstützung. Remoteunterstützung ist eine Form der Kommunikation und Zusammenarbeit im Windows Messenger, die das Remote Desktop Protokoll nutzt. Dasselbe Protokoll wird durch die Windows Terminaldienste genutzt. RDP wird auf eine TCP-Verbindung aufgesetzt. Windows Messenger startet eine Fernunterstützung unter Nutzung der Serverbasierenden Sitzungsaufforderungslogik. Dies ist ähnlich zum Dateitransfer. Das zusätzliche SIP Aufforderungssignal wird nur dann hinzugefügt, wenn eine Sprachsitzung als Hilfestellung zur Remoteunterstützung dient.

Möglichkeit zur Deaktivierung: Windows Messenger kann durch Gruppenrichtlinien deaktiviert werden. Die Verfahren hierzu werden später in diesem Abschnitt bereitgestellt.


Der Windows Messenger kann auf zwei Arten kontrolliert werden. Mit Hilfe der Gruppenrichtlinien von Windows 2000 Server oder durch die Nutzung der Registrierungsschlüssel. Gruppenrichtlinien sind die empfohlene Methode für eine verwaltete Umgebung. Die Verfahren für diese beiden Methoden folgen im nächsten Abschnitt.

Es gibt eine Vielzahl an Konfigurationen, die alle Features von Windows Messenger nahtlos integrieren. Es gibt dort ebenfalls Konfigurationen die bestimmte Features limitieren oder nicht arbeiten lassen. Zum Lösen einiger dieser Fragen, nutzt der Windows Messenger die universelle Plug und Play Infrastruktur in Windows XP und vorheriger Versionen des Windows Betriebssystems. Diese Art der Lösung wird umso verfügbarer, je mehr Internet-Gateway-Geräte den Support für Universelles Plug-and-Play beinhalten.

In vielen Netzwerken können alle dieser Funktionen genutzt werden, ohne Änderungen an der Netzwerkinfrastruktur vorzunehmen. Bestimmte Netzwerke, z.B. in Firmen, setzen ebenfalls Firewall- und NAT-Komponenten ein. Einige Funktionen von Windows Messenger, vor allem die Sprach- und Videokommunikation, werden erfahrungsgemäß in bestimmten Internetszenarien in ihrer Funktionalität eingeschränkt. Windows Messenger Funktionen die durch NAT oder eine Firewall berührt werden sind:

Instant Messaging und Anwesenheit

Audio und Video

Gemeinsame Nutzung von Anwendungen und Whiteboard

Dateitransfer

Remoteunterstützung

Wenn Universelles Plug-and-Play aktiviert ist, werden Firewalls oder NAT-Komponenten für den Teil der Kommunikation genutzt. Alle neuen Funktionen von Windows Messenger arbeiten wie beabsichtigt. Trotzdem werden in manchen Netzwerken spezielle Konfigurationen benötigt, damit alle neuen Windows Messenger Funktionen arbeiten.

Weitere Informationen über das Arbeiten mit Firewalls und NAT-Geräten für den Windows Messenger finden Sie unter:

www.microsoft.com/windowsxp/pro/techinfo/deployment/natfw/default.asp

Konfiguration

Der Windows Messenger kann auf verschiedene Arten konfiguriert werden, wie bereits beschrieben wurde. Dieser Abschnitt beschreibt Verfahren für das Ändern oder Deaktivieren der verschiedenen Funktionen im Einklang mit den Sicherheitsrichtlinien Ihrer Organisation.

Der folgende Abschnitt hält Informationen zu diesen Themen bereit:

Die Ausführung von Windows Messenger auf einem Computer mit Windows XP verhindern.

Kontrollieren der Richtlinien im Windows Messenger unter Nutzung der Registrierungsschlüssel.

Entfernen sichtbarer Einstiegspunkte zum Windows Messenger durch Verwendung einer Antwortdatei bei einer unbeaufsichtigten Installation von Windows XP SP1.

MSN-Messenger-Verkehr durch einen ISA-Server ermöglichen.

Die Ausführung von Windows Messenger verhindern1. Auf einem Windows 2000 Server folgen Sie den Anweisungen in der Windows-Hilfe um


2. Öffnen Sie Computerkonfiguration\Administrative Vorlagen\Windows Komponenten\Windows Messenger

3. Im Detailbereich des Fensters offnen Sie Ausführung von Windows Messenger nicht zulassen.

4. Wählen Sie Aktiviert.

Steuerung unter Verwendung der Registrierung

Im Windows Messenger Version 4.7 wird die Richtlinienkontrolle statisch auf dem vom Client genutzten Registrierungsschlüsseln vorgenommen, im Gegensatz zu dynamischem Herunterladen der Richtlinien über einen Dienst. Durch Einstellung der Richtlinienkontrollwerte in der Registrierung können Sie differenzierte Richtlinien für den Windows Messenger Client erzwingen.

Registrierungsschlüssel

http://www.microsoft.com/windowsxp/pro/techinfo/deployment/natfw/default.asp

1. Starten Sie den Registrierungseditor (Regedit.exe).

2. Markieren und klicken Sie den folgenden Registrierungsschlüssel:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft

3. Im Menü Bearbeiten klicken Sie auf Schlüssel hinzufügen und geben dann Messenger für den Namen des neuen Registrierungsschlüssels ein.

4. Markieren und klicken Sie den folgenden Registrierungsschlüssel:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Messenger

5. Im Menü Bearbeiten klicken Sie auf Schlüssel hinzufügen und geben dann Client für den Namen des neuen Registrierungsschlüssels ein.

6. Markieren und klicken Sie den folgenden Registrierungsschlüssel:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Messenger\Client

7. Im Menü Bearbeiten klicken Sie auf Wert hinzufügen und geben dann PreventRun als Wertname und REG_DWORD als Datentyp an.

8. Geben Sie im DWORD-Editor unter Daten „1“ ein und wählen Sie dezimal

9. Verlassen Sie den Registrierungseditor.

Hinweis Diese Methode verhindert bei Anwendungen, die Windows Messenger-APIs nutzen, auch die Nutzung des Windows Messenger. Outlook 2002, Outlook Express 6 und die Remoteunterstützung in Windows XP sind Beispiele für Programme, die diese APIs nutzen.

Entfernen sichtbarer Einstiegspunkte zum Windows Messenger durch Nutzung der Antwortdatei einer unbeaufsichtigten Installation von Windows XP SP11. Nutzen Sie Ihre bevorzugte Methode für eine unbeaufsichtigte Installation unter Verwendung einer

Antwortdatei. Weitere Informationen zur unbeaufsichtigten Installation oder zur Installation mit Hilfe von RIS finden Sie in Anhang A, „Informationsquellen für den Einsatz automatisierter Installationen“.

2. Im Abschnitt [Components] der Antwortdatei tragen Sie folgenden Eintrag hinzu:

WMAccess = Off

Hinweis Dieser Eintrag entfernt nicht jeden Windows Code einschließlich jeden Windows Messenger Codes, außer den Sichtbaren Zugangspunkten.

ISA-Server

MSN Messenger-Unterstützung wurde in den Microsoft ISA Server 2000 als vorgefertigtes Protokoll eingebaut. Sollten Sie jedoch mit Paketfiltern arbeiten, so arbeitet der MSN Messenger nicht ohne die folgenden Konfigurationen:

Versenden von Nachrichten1. Rechtsklick auf Protokollregel und dann Neue Regel auswählen.

2. Schreiben Sie Instant Messenger Regel als Name für die Regel und klicken Sie Weiter.

3. Klicken Sie Zulassen und dann Weiter.

4. Wählen Sie im Menü Ausgewählte Protokolle und klicken Sie auf MSN Messenger. Klicken Sie dann auf Weiter.

5. Klicken Sie Jede Anfrage im Clienttyp Dialog und gehen Sie dann auf Beenden.

Konfiguration des Paketfilters

Die Art des zu konfigurierenden Paketfilters hängt von der Art des gewünschten Zugriffs für den MSN Messenger ab. Zunächst konfigurieren Sie den Paketfilter für die einfache Kommunikation mit dem MSN Messenger:

1. Rechtsklick auf Paketfilter und dann Neuer Filter auswählen.

2. Schreiben Sie Instant Messenger – Ausgehend als Name für den Filter und klicken Sie Weiter.

3. Klicken Sie auf Alle ISA Server Computer im Cluster und dann auf Weiter.

4. Klicken Sie auf Paketübermittlung zulassen und dann auf Weiter.

5. Klicken Sie Angepasst im Dialog Filtertyp und dann auf Weiter.

6. In der Liste IP Protokoll klicken Sie auf TCP.

7. Unter Richtung wählen Sie Beide.

8. Unter Lokaler Anschluss klicken Sie auf Dynamisch, ändern Remote Anschluss auf Fester Anschluss und geben als Anschluss-Nummer 1863 ein.

9. Klicken Sie auf Standard IP-Adressen für jede externe Schnittstelle des ISA-Servercomputers und klicken Sie Weiter.

10. Klicken Sie Alle Remotecomputer und dann auf Weiter.

11. Gehen Sie auf Beenden.

Windows ZeitdienstDie folgenden Abschnitte enthalten Informationen über:

Der Nutzen des Windows-Zeitgeberdienstes

Wie der Windows-Zeitgeberdienst über das Internet synchronisiert werden kann

Wie man den Informationsaustausch mit dem Internet kontrollieren kann

Wie der fertig konfigurierte Zeitdienst überwacht und Probleme erkannt werden können

Vorteile und Nutzen

Viele Komponenten von Microsoft Windows XP Professional Service Pack 1 (SP1) fußen auf einer genauen und synchronisierten Zeit. Ohne diese Synchronisation kann die Authentifizierung fehlschlagen, da Anmeldeversuche unter Umständen als Angriffe interpretiert werden.

Durch die Synchronisation innerhalb eines Unternehmens ist es möglich, auftretende Ereignisse mit der gleichen Zeit zu protokollieren. Darüber lassen sich exakte Analysen von Ereignissen auf Computern ihres Unternehmens in einen zeitlichen Zusammenhang bringen. Der Windows-Zeitgeberdienst synchronisiert automatisch die Zeit des lokalen Computers mit der Zeit anderer Computer, um eine höhere Sicherheit und Leistung in ihrem Unternehmen zu gewährleisten.

Überblick

Computer nutzen zur Zeitbestimmung immer ihre interne Uhr, um die Zeit oder das Datum zu bestimmen. Damit zeit-sensitive Aufgaben ausgeführt werden können ist es jedoch notwendig, dass die Zeit synchronisiert wird. Dabei gibt ein Computer die Zeit vor. Ohne eine automatische Zeitsynchronisierung muss die Uhrzeit auf jedem Computer von Hand eingestellt werden.

Der Windows-Zeitgeberdienst ist standardmäßig auf Computern mit Windows 2000 oder Windows XP installiert. Der Dienst nutzt die Universalzeit (UTC), um unabhängig von Zeitzonen zu arbeiten. Die Information, in welcher Zeitzone ein Computer steht, wird in der Registrierung abgelegt und zusammen mit der UTC ergibt sich die Zeit, die dem Anwender angezeigt wird.

Der Windows-Zeitgeberdienst startet automatisch beim Beitritt eines Computers zu einer Domäne. (Auf Computern die nicht Mitglied einer Domäne sind kann der Dienst von Hand gestartet werden.) In einer Domäne wird die Synchronisierung immer beim Start des Dienstes während der Systemstartphase durchgeführt. Der Anmeldedienst des Clients sucht nach einem Domänencontroller der die Authentifizierung durchführen und mit dem der Client die Zeit abgleichen kann. Wenn ein Domänencontroller gefunden wird, sendet der Client eine Anfrage an den Domänencontroller, um die Zeit mit dem Domänencontroller abzugleichen. Der Abgleich wird mit Hilfe des Simple Network Time Protocol (SNTP) durchgeführt, damit die Verzögerung beim Pakettransport zwischen den beiden Computern berechnet werden können.

Wie der Windows-Zeitgeberdienst über das Internet synchronisiert werden kann

Windows XP synchronisiert durch den Windows-Zeitgeberdienst die lokale Computerzeit mit der Computerzeit anderer Computer im Netzwerk. Dabei variiert die Quelle für die exakte Zeit je nachdem ob ein Computer Mitglied einer Active Directory Domäne oder einer Arbeitsgruppe ist.

In einer Arbeitsgruppe

In diesem Szenario ist die Standardeinstellung für die Zeitsynchronisation auf den Wert “Einmal pro Woche” gesetzt. Der Zeitserver für diese Einstellung ist der Server: time.windows.com. Diese Standardeinstellung bleibt solange erhalten, bis der Eintrag manuell geändert wird. Dabei können auch andere Quellen, die eine akkurate Zeit liefern, als Zeitserver für Windows XP konfiguriert werden. Als Zeitgeber kann sowohl spezielle Hardware oder auch Zeitserver, die im Internet zur Verfügung stehen dienen. Alle Mitglieder der Arbeitsgruppe können dann so konfiguriert werden, dass sie die gleiche Zeitquelle nutzen.

In einer Domäne

In diesem Szenario wird der Windows-Zeitgeberdienst automatisch konfiguriert. Dabei wird der Windows-Zeitgeberdienst genutzt, der auf den Domänencontrollern zur Verfügung gestellt wird.

Der Windows-Zeitgeberdienst auf einem Domänencontroller kann auf zwei Arten konfiguriert werden. Einmal als vertrauenswürdig oder als nicht vertrauenswürdig. Clients deren Windows-Zeitgeberdienst versuchen ihre Zeit mit der Zeit des Domänencontrollers abzugleichen, werden nur Quellen nutzen, die als vertrauenswürdig ausgewiesen sind. Ein Domänencontroller kann diese Funktion des Taktgebers übernehmen. Diese Funktion kann aber auch jederzeit wieder geändert oder auf einen anderen Domänencontroller verschoben werden.

Windows 2000 in einer Arbeitsgruppe

In diesem Fall muss der Windows-Zeitgeberdienst für Windows 2000 von Hand gestartet werden, solange sie nicht Mitglied in einer Domäne sind. Bei Windows XP ist der Windows-Zeitgeberdienst so eingestellt, dass der Computer sich mit dem Microsoft Zeitserver time.windows.com synchronisiert. Der Dienst wird im Gegensatz zu Windows 2000 automatisch auf Computern mit Windows XP gestartet. Windows XP benutzt dazu das Network Time Protocol (NTP) während Windows 2000 noch das Simple Network Time Protocol (SNTP) verwendet.

Die folgende Aufstellung beschreibt die verschiedenen Aspekte des Windows-Zeitgeberdienstes. Dabei liegt der Fokus auf dem Datenaustausch mit dem Internet und wie die Informationen ausgetauscht werden:

Die Übermittlung eindeutiger Informationen Der Dienst sendet die Information in Form eines Netzwerkpakets.

Standard, und empfohlene Einstellungen: Computer die Mitglied in einer Active Directory Domäne sind synchronisieren die Zeit mit einem Domänencontroller der Domäne standardmäßig. Domänencontroller ihrerseits synchronisieren ihre Zeit mit dem ersten Domänencontroller der Stammdomäne. Dieser erste Domänencontroller kann seine Zeit entweder über einen Zeitserver des Internets oder eine andere Zeitquelle beziehen, die entweder NTP oder SNTP unterstützt.

Auslöser: Der Windows-Zeitgeberdienst wird mit dem Computer gestartet. Zusätzlich wird die lokale Computerzeit der Clients laufend aktualisiert..

Benachrichtigung an den Anwender: Benachrichtigungen werden nicht an die Anwender gesendet.

Protokollierung: Informationen, die mit dem Dienst in Verbindung stehen, werden im Systemprotokoll der Ereignisanzeige aufgezeichnet. Die Zeit und Netzwerkadresse des Zeitgebers ist in den Einträgen des Systemprotokolls enthalten. Ferner werden Warnungen, Fehler oder Statusmeldungen des Dienstes mit aufgezeichnet.

Verschlüsselung: Verschlüsselung wird benutzt um die Zeitinformation zwischen Domänenmitgliedern zu übertragen.

Anschluss: NTP und SNTP benutzen standardmäßig UDP auf Anschluss 123. Sollte dieser Anschluss nicht in der Firewall freigeschaltet sein, kann keine Zeitsynchronisation mit Zeitservern des Internets stattfinden.

Kommunikationsprotokoll: Der Dienst in Windows 2000 benutzt SNTP, um sich mit anderen Computern zu synchronisieren. Bei Windows XP wird NTP eingesetzt.

Deaktivierung: Deaktivieren des Dienstes hat keinen direkten Effekt auf Anwendungen und andere Dienste. Allerdings kann es bei Anwendungen und anderen zeitabhängigen Diensten, wie z.B. dem Kerberos V5 Authentifizierungsprotokoll zu unerwünschten Effekten kommen, wenn die Zeitunterschiede zwischen den Computer zu groß sind.

Speichern von Informationen: Dieser Dienst speichert keine Informationen, so dass nach der Synchronisation die Informationen verloren gehen.

Steuerung der Kommunikation mit dem Internet

Gruppenrichtlinienobjekte (GPO) können eingesetzt werden, um den Windows-Zeitgeberdienst so einzustellen, dass nur bestimmte Informationen in das Internet gelangen, bzw. von dort empfangen werden. Gruppenrichtlinienobjekte für Computer mit Windows 2000 beinhalten keine Einstellungsmöglichkeiten für den Windows-Zeitgeberdienst. Allerdings ist es möglich Gruppenrichtlinieneinstellungen für Windows XP in das Active Directory auf einem Windows 2000 Server zu importieren. Weitere Informationen zu diesem Thema erhalten Sie in Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“.

Die Art der Synchronisation und die Angabe eines NTP-Servers für die Clients können über Gruppenrichtlinien eingestellt und kontrolliert werden. Wenn der Synchronisationstyp auf den Wert Nt5DS eingestellt wird, so synchronisiert der Windows-Zeitgeberdienst des Clients seine Zeit mit der eines Domänencontrollers. Alternativ dazu kann durch die Einstellung des Synchronisationstyps NTP der Dienst seine Zeiteinstellungen von einem angegebenen NTP-Server beziehen. Dazu kann im DNS der Name eines Zeitservers eingetragen werden.

Weitere Informationen zum Thema "The Windows Time Service" finden Sie auf der Microsoft Web Site:

www.microsoft.com/windows2000/techinfo/howitworks/security/wintimeserv.asp

Clients in einer verwalteten Umgebung können so konfiguriert werden, dass alle Clients von einem NTP-Server ihre Zeitinformationen bekommen. Ferner ist sichergestellt, dass Informationen, die über das Internet gesendet werden, minimiert werden können. Falls Sie keine Zeitsynchronisation wünschen, so können sie unter Windows XP Gruppenrichtlinien einsetzen. Die Vorgehensweise dafür finden Sie am Ende des Abschnittes.

Auswirkungen

Windows-Komponenten und -Dienste sind abhängig von Zeitsynchronisation. Zum Beispiel ist beim KerberosV.5-Authentifizierungsprotokoll (unterstützt von Windows 2000 und Windows XP) in einer Windows 2000 Domäne die standardmäßige maximale Zeitdifferenz auf 5 Minuten eingestellt. Computer, deren Zeit um mehr als 5 Minuten von der Zeit des Domänencontrollers abweicht, können sich nicht mit Hilfe des Kerberosprotokolls authentifizieren. Diese Einstellung ist über Gruppenrichtlinien steuerbar. Fehler bei der Authentifizierung über Kerberos können dazu führen, dass sich Anwender nicht mehr anmelden können oder nicht mehr auf Freigaben bzw. Drucker zugreifen können, oder andere Dienste innerhalb der Domäne nicht mehr zur Verfügung stehen.

Wird eine Zeitdifferenz festgestellt, können Sie folgende Anpassungen vornehmen:

Ist die lokale Zeit des Clients hinter der Zeit des Servers, so wird diese sofort auf dem Client eingestellt.

Ist die lokale Zeit des Clients mehr als 3 Minuten vor der Zeit des Servers, so wird die Zeit auf dem Client sofort angepasst.

Ist die lokale Zeit des Clients weniger als 3 Minuten vor der Zeit des Servers, so wird der Dienst die Taktfrequenz der Uhr vierteln oder halbieren, bis die Zeit des Clients angepasst ist.

http://www.microsoft.com/windows2000/techinfo/howitworks/security/wintimeserv.asp

Ist die lokale Zeit des Clients weniger als 15 Sekunden vor der des Servers, so wird die Uhrfrequenz halbiert, ansonsten wird die Frequenz geviertelt bis die Uhrzeiten synchronisiert sind.

Konfigurationseinstellungen

Sie können die globale Konfiguration des Windows-Zeitgeberdienstes über Gruppenrichtlinien für alle Clients einer Domäne realisieren. Details zu den Konfigurationsmöglichkeiten finden sie unter "Verfahrensmöglichkeiten um den Windows-Zeitgeberdienst zu konfigurieren" weiter unten in diesem Abschnitt. Folgende Tabelle zeigt die Einstellmöglichkeiten der Parameter.

Gruppenrichtlinieneinstellungen - Allgemein

Richtlinieneinstellung Effekt der Richtlinieneinstellung Standardeinstellung

Frequenzkorrekturrate Wert bei dessen Überschreitung die Uhrzeit angepasst wird. Ist der Wert zu klein, so kann die Uhr durch zu häufiges korrigieren instabil werden. Ist der Wert zu groß, so dauert die Synchronisation zu lange.

4

Haltezeitrahmen Das Zeitintervall bei dem die Differenzerkennung deaktiviert wird um der lokalen Uhr die Möglichkeit der schnellen Synchronisation zu geben..

5

Großer Phasenoffset Eine Zeitdifferenz größer oder gleich diesem Wert wird vom Dienst als verdächtig eingestuft.

1,280,000

Max. zugelassener Phasenoffset

Maximale Zeitdifferenz (in Sekunden) bei der über die Taktfrequenz der Uhr eine Zeitanpassung erfolgt. Überschreitet die Zeitdifferenz diesen Wert, wird die Computeruhr direkt neu gestellt.

300

Max. negative Phasenkorrektur Die größte negative Zeitdifferenz die automatisch eingestellt werden kann. Bei der Überschreitung dieses Wertes erfolgt nur ein Eintrag in das Ereignisprotokoll.

54,000 (15 hrs)

Max. positive Phasenkorrektur Die größte positive Zeitdifferenz die automatisch eingestellt werden kann. Bei der Überschreitung dieses Wertes erfolgt nur ein Eintrag in das Ereignisprotokoll.

54,000 (15 Stunden)

Phasenkorrekturrate Korrektur des Updateintervalls. 7

Pollanpassungsfaktor Steuert die Entscheidung, ob das Intervall herauf- oder herabgesetzt werden soll.

5

Spikeüberwachungszeitrahmen

Zeitraum innerhalb dessen eine Zeitdifferenz dauerhaft bestehen muss, um als korrekt akzeptiert zu werden (in Sekunden).

90

Aktualisierungsintervall Die Anzahl der Zähler zwischen Korrekturen. 100

Ansageflags Einstellung um den Computer als verlässlichen Zeitserver einzustufen. Nur ein Computer der als Zeitserver konfiguriert wurde gilt als verlässlich.

6

Ereignisprotokollflags Steuert die Einträge in das Ereignisprotokoll. 2

Abweichung der lokalen Uhrzeit

Die Zeitdifferenz (in Sekunden) die man annehmen muss, falls die einzige Zeitquelle die eingebaute CMOS-(Complementary Metal Oxide Semiconductor) Uhr ist.

10

Maximales Pollinterval Maximales Intervall in Sekunden 15

Minimales Pollinterval Kleinstes mögliches Intervall in Sekunden. 4

Die Windows NTP-Clientkonfigurationseinstellungen können Sie mit Hilfe der Gruppenrichtlinien definieren. Details über die Vorgehensweise finden sie unter "Verfahrensmöglichkeiten um den Windows-Zeitgeberdienst zu konfigurieren" weiter unten in diesem Abschnitt. Die folgende Tabelle beschreibt die möglichen Einstellungen.

Gruppenrichtlinieneinstellungen – Client

Richtlinieneinstellung Effekt der Einstellung Standardeinstellung

NTP-Server Liste der verfügbaren Zeitserver, die durch Leerzeichen voneinander getrennt werden. Diese Liste kann sowohl DNS Namen oder IP-Adressen enthalten.

time.microsoft.com

Type Zeigt die Liste der Server von denen Zeitsynchronisation akzeptiert wird:

Keine Synchronisierung. Der Dienst synchronisiert die Zeit nicht.

NTP. Der Dienst synchronisiert die Zeit mit dem oben angegebenen NTP Zeitserver.

NT5DS. Der Dienst synchronisiert sich innerhalb der Domänenhierarchie.

Synchronisierung für alle. Alle möglichen Synchronisierungsmechanismen können eingesetzt werden.

Standardoptionen

NTP. Für Computer die nicht Mitglied einer Domäne sind.

NT5DS. Für Computer die Mitglied einer Domäne sind

.

Standortübergreifende Sync.-Flags

Bestimmt ob der Dienst auch Synchronisation mit Partnern außerhalb der Domäne des Computers zulässt.

Keine 0

Nur PDC 1

Alle 2

Dieser Wert wird ignoriert, wenn NT5DS nicht gesetzt ist.

2

Minuten für “PeerBackoff” auflösen

Bestimmt das Anfangsintervall in Minuten bevor ein Versuch zur Synchronisation mit einem Nachbarn initiiert wird.

15

Max. Anzahl für “PeerBackoff” auflösen

Bestimmt die maximale Anzahl der verdoppelten Zeitintervalle, die der Client darauf verwendet, sich mit einen benachbarten Computer abzugleichen. Der Wert 0 bedeutet, dass das Warteintervall immer das Minimum ist.

7

EventLogFlags Kontrolliert die Ereignisse die der Dienst im Ereignisprotokoll aufzeichnet.

0

AnmerkungGruppenrichtlinien für Computer auf denen Windows 2000 ausgeführt wird unterstützen diese Konfigurationseinstellungen des Windows-Zeitgeberdienstes nicht. Um die Konfiguration auch unter Windows 2000 nutzen zu können, müssen Sie die Gruppenrichtlinien Vorlagen zuerst importieren. Mehr Informationen zu diesem Thema erhalten Sie in Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“.

Gruppenrichtlinien und Active Directory sind Werkzeuge, die für die Kontrolle und Verwaltung von Computern in Firmen oder Konzernen eingesetzt werden. Eine vollständige Beschreibung der Gruppenrichtlinien ist nicht Ziel dieses Dokuments. Weitere Informationen über den Bereich der Gruppenrichtlinien finden Sie in Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“.

Mehr Informationen über den Bereich Windows Zeitdienst und Registrierungseinträge finden Sie im Internet in der Microsoft Knowledge Base unter dem Titel "Registry Entries for the W32Time Service":

support.microsoft.com/default.aspx?scid=kb;en-us;Q223184

Anmerkungen Um die Registrierung zu verändern müssen Sie Mitglied der Gruppe der Administratoren des lokalen Computers sein oder sie müssen über delegierte Rechte verfügen die Registrierung verändern zu dürfen. Ist der Computer Mitglied einer Domäne, so haben auch die Domänenadministratoren das Recht Änderungen an der Registrierung vorzunehmen.

Um den Registrierungseditor zu öffnen, klicken Sie auf Start, dann Ausführen und geben Sie regedit ein.

Die Registrierungseinstellungen für Windows 2000 Computer, die in diesem Abschnitt aufgelistet sind, finden Sie unter folgendem Schlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Registrierungseinstellungen

Eintragsname Datentyp Beschreibund und Werte

ReliableTimeSource REG_DWORD optional

Wird benutzt um anzuzeigen, dass dieser Computer eine verlässliche Zeit hat.

0 = Markiert Computer die keine verlässliche Zeit haben [Standard = 0]

1 = Markiert den Computer als verlässliche Zeitquelle. Dies ist nur auf einem Domänencontroller von Nutzen.

Period REG_DWORD or REG_SZ

Wird benutzt um einzustellen, wie oft der Zeitdienst synchronisieren soll. Folgende Werte sind möglich:65531, "DailySpecialSkew" = einmal alle 45 Minuten bis ein erfolgreicher Abgleich stattfand danach tägliche Aktualisierung 65532, "SpecialSkew" = einmal alle 45 Minuten bis dreimal hintereinander ein erfolgreicher Abgleich stattfand, danach alle 8 Stunden (dreimal pro Tag) [Standardeinstellung]65533, "Weekly" = einmal pro Woche (Sieben Tage)65534, "Tridaily" = einmal alle drei Tage 65535, "BiDaily" = einmal alle zwei Tage 0 = einmal am Tagfreq = Häufigkeit der Aktualisierungen bezogen auf den Tag. Wenn Sie einen anderen Wert benutzen wollen, als die oben angegebenen müssen sie diese Option extra eintragen.

AvoidTimeSyncOnWan REG_DWORD optional

Wird eingesetzt um zu verhindern, dass Computer die Zeit mit Computern anderer Standorte synchronisieren. Dadurch werden keine WAN Leitungen geöffnet um die Zeit zu synchronisieren. Es entstehen somit keine extra Kosten durch die Nutzung von Mietleitungen.0 = Die Standorte werden nicht berücksichtig um den Zeitserver zu kontaktieren. [Standard = 0] 1 = Der Computer wird sich nicht mit Zeitservern anderer Standorte synchronisieren.

LocalNTP REG_DWORD Steuert den Startvorgang eines SNTP Servers.0 = Starte den Zeitserver nicht, außer es handelt sich um einen Domänencontroller. [Standard = 0] 1 = Starte den Zeitserver immer.

Type REG_SZ Steuert wie der Computer synchronisiert.Nt5DS = synchronisiert mit Domänencontroller in der Domänenhierarchie oder manuell eingestellten Zeitserver. [Standard = Nt5DS] NTP = synchronisiert mit einer manuell angegebenen Quelle.NoSync = Synchronisiert nicht.

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q223184

NtpServer REG_SZ optional

Wird benutzt um den Zeitgeber manuell einzugeben. Der Eintrag kann entweder ein DNS Name oder eine IP-Adresse sein. Allerdings kann der Eintrag nur einen Namen bzw. eine Adresse umfassen. Dies kann jederzeit an der Kommandozeile geändert werden. [Standard = kein Eintrag]

GetDcBackoffMinutes REG_DWORD optional

Intervall in Minuten, um nach einem Domänencontroller zu suchen, wenn der letzte Versuch fehlschlug den Zeitgeber zu finden. [Standard = 15]

GetDcBackoffMaxTimes

REG_DWORD optional

Maximale Anzahl der Verdopplung der Zeitintervalle während aufeinanderfolgender fehlgeschlagener Versuche einen Domänencontroller zu finden

Ist der Wert 0, dann werden aufeinanderfolgende Versuche nicht im Ereignisprotokoll eingetragen. [Standard = 7]

Der Windows-Zeitgeberdienst versucht einen Domänencontroller durch seine standardmäßigen Einstellungen zu finden. Sollte das Intervall noch nicht abgelaufen sein, so wird der Versuch abgebrochen. Beispiel: Die Standardwerte die vom Intervall verwendet werden folgen dieser Reihe von Werten: 15 Minuten, 30 Minuten, 1 Stunde, 2 Stunden, 4 Stunden, 8 Stunden, 16 Stunden usw. Der Dienst hingegen wird nur alle 45 Minuten versuchen sich mit dem Domänencontroller zu verbinden. Somit werden die Versuche einen Domänencoltroller zu finden nach 45 Minuten, 1 Stunde 30 Minuten, 2 Stunden 15 Minuten, 4 Stunden 30 Minuten, 8 Stunden 15 Minuten, 16 Stunden 30 Minuten, usw. stattfinden.


Konfiguration

Die folgenden Vorgehensweisen erklären, wie sie über Gruppenrichtlinien den Windows-Zeitgeberdienst konfigurieren, so dass Sie die in den vorhergehenden Abschnitten beschriebenen Einstellungen erreichen.

Aktivierung1. Stellen Sie sicher, dass Sie ein Update auf die aktuellste Version der Administrativen Vorlagen

durchgeführt haben. Weitere Informationen erhalten Sie im Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“.

2. Abhängig davon, ob Sie das Gruppenrichtlinienobjekt (GPO) auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden wollen, gehen Sie nach den Anweisungen der Hilfe vor, um die entsprechende Gruppenrichtlinie auf einem Windows 2000 Server zu öffnen. Weitere Informationen erhalten Sie im Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“.

3. Erweitern Sie Computerkonfiguration, Administrative Vorlagen, System und klicken Sie auf Windows-Zeitdienst.

4. Klicken Sie auf der rechten Seite im Detailfeld doppelt auf Globale Konfigurationseinstellungen und wählen Sie Aktiviert.

Synchronisation verhindern

1. Stellen Sie sicher, dass Sie ein Update auf die aktuellste Version der Administrativen Vorlagen durchgeführt haben. Weitere Informationen erhalten Sie im Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“.


3. Erweitern Sie Computerkonfiguration, Administrative Vorlagen, System, Windows-Zeitdienst, und klicken Sie dann auf Zeitanbieter.

4. Klicken Sie auf der rechten Seite im Detailfeld doppelt auf Windows-NTP-Client aktivieren, und wählen Sie Deaktiviert.

Synchronisationsanfragen nicht beantworten1. Stellen Sie sicher, dass Sie ein Update auf die aktuellste Version der Administrativen Vorlagen

durchgeführt haben. Weitere Informationen erhalten Sie im Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“.

2. Abhängig davon, ob Sie das Gruppenrichtlinienobjekt (GPO) auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden wollen, gehen Sie nach den Anweisungen der Hilfe vor, um die entsprechende Gruppenrichtlinie auf einem Windows 2000 Server zu öffnen. Weitere Informationen erhalten Sie im Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“..

3. Erweitern Sie Computerkonfiguration, Administrative Vorlagen, System, Windows-Zeitdienst, und klicken Sie dann auf Zeitanbieter.

4. Klicken Sie auf der rechten Seite im Detailfeld doppelt auf Windows-NTP-Server aktivieren, und wählen Sie Deaktiviert.

Den Windows-Zeitdienst starten und anhalten

Mit den Standardeinstellungen startet der Windows-Zeitdienst beim Hochfahren des Systems automatisch. Sie können den Dienst jedoch über Verwaltung\Dienste oder das Kommandozeilen-Tool „Net Time“ manuell starten und anhalten.

Starten des Windows-Zeitgeberdienstes1. Klicken Sie auf Start, dann entweder direkt auf Systemsteuerung oder erst auf Einstellungen

danach auf Systemsteuerung

2. Öffnen Sie Verwaltung und dann Dienste

3. Markieren Sie in der Liste den Dienst Windows Zeitgeber

4. Klicken Sie im Menü Aktion auf Starten um den Dienst zu starten

Anhalten des Windows-Zeitgeberdienstes1. Klicken Sie auf Start, dann entweder direkt auf Systemsteuerung oder erst auf Einstellungen

danach auf Systemsteuerung

2. Öffnen Sie Verwaltung und dann Dienste

3. Markieren Sie in der Liste den Dienst Windows-Zeitgeber

4. Klicken Sie im Menü Aktion auf Beenden um den Dienst zu beenden

Starten mit „Net Time” 1. Öffnen Sie die Eingabeaufforderung

2. In der Eingabeaufforderung geben sie net start w32time ein, und drücken dann ENTER

Anhalten mit „Net Time“1. Öffnen Sie die Eingabeaufforderung

2. In der Eingabeaufforderung geben Sie net stop w32time ein, und drücken dann ENTER

Synchronisation mit einer externen Zeitquelle

Synchronisation des Zeitservers1. Öffnen Sie die Eingabeaufforderung

2. In der Eingabeaufforderung geben Sie w32tm /config /syncfromflags:manual /manualpeerlist:Zeitquellen ein, und drücken Sie dann ENTER(Zeitquellen steht für eine durch Kommas getrennte Aufzählung von Domain Name System (DNS) Namen oder Internet Protokoll (IP) Adressen der Zeitquellen)

3. Geben Sie in der Eingabeaufforderung w32tm /config /update ein, und drücken Sie dann ENTER

AnmerkungenDer gebräuchlichste Zweck dieses Verfahrens ist, die maßgebliche interne Zeitquelle des Netzwerkes mit einer genauen externen Zeitquelle zu synchronisieren. Dieses Verfahren kann jedoch auch auf einem Computer verwendet werden, auf dem Windows XP ausgeführt wird.

Wenn der Computer die Zeitserver nicht erreichen kann, schlägt der Vorgang fehl, und ein Eintrag im Windows-Ereignisprotokoll wird erzeugt.

Synchronisation der Clients1. Öffnen Sie die Eingabeaufforderung

2. In der Eingabeaufforderung geben sie w32tm /resync ein, und drücken dann ENTER.

AnmerkungenDieses Verfahren funktioniert nur auf Computern die einer Domäne angehören.

Das W32tm Tool wird zur Problemdiagnose im Zusammenhang mit dem Windows-Zeitgeberdienst verwendet. Wenn Sie das Tool auf einem Domänen Controller verwenden wollen, ist es notwendig den Zeitgeberdienst vorher zu beenden. W32tm und den Zeitgeberdienst gleichzeitig auszuführen, wird eine Fehlermeldung erzeugen, da beide versuchen den gleichen UDP-Anschluss zu verwenden. Wenn Sie die Arbeit mit W32tm beendet haben, muss der Dienst neu gestartet werden.

Überwachung und Fehlersuche

In vielen Fällen können Probleme mit dem Windows-Zeitgeberdienst auf die Netzwerkkonfiguration zurückgeführt werden. Wenn die Netzwerkkonfiguration nicht korrekt ist, kann es sein, dass Computer nicht in der Lage sind, Zeitinformationen korrekt zu versenden. Um herauszufinden, wo ein Paket im Netzwerk nicht weitergeleitet wird, kann es nützlich sein, den Inhalt von NTP-Paketen zu betrachten. Im Zusammenhang mit dem Windows-Zeitgeberdienst könnte ein Fehler auftreten, wenn ein Computer nicht in der Lage ist, sich mit der maßgeblichen Zeitquelle zu synchronisieren. Um diesen und andere Fehler, die mit dem Windows-Zeitgeberdienst zusammenhängen, zu finden, können Sie das W32tm-Kommandozeilentool verwenden.

W32tm.exe ist ein Kommandozeilentool zur Konfiguration, zur Überwachung und zur Fehlersuche für den Windows-Zeitgeberdienst. Für alle Aufgaben, die Sie mit dem W32tm.exe Tool erledigen können, können Sie wahlweise auch eine Gruppenrichtlinie verwenden. Für weitere Informationen schlagen Sie in der Windows-Hilfe unter „W32tm“ im Inhaltsverzeichnis nach.

Fehler bei der Synchronisation

Ein Computer, auf dem der Windows-Zeitgeberdienst läuft, verweigert die Zeitsynchronisation mit einem Zeitgeber, wenn seine Uhrzeit um mehr als 15 Stunden abweicht. Dieser Fehler tritt selten auf, und ist oft das Ergebnis einer Fehlkonfiguration. Die Zeitsynchronisation schlägt zum Beispiel fehl, wenn der Anwender das Datum des Computers falsch einstellt. In diesem Fall ist es leicht möglich, dass die Zeit um einen Tag oder mehr von der des Zeitgebers abweicht. Überprüfen Sie, ob auf dem Computer das richtige Datum eingestellt ist.

Synchronisation des Clients mit einem Zeitserver1. Klicken Sie auf Start, öffnen Sie Alle Programme, Zubehör, und klicken Sie auf

Eingabeaufforderung

2. In der Eingabeaufforderung geben Sie w32tm /resync /rediscover ein, und drücken Sie dann ENTER.

AnmerkungenDer vorhergehende Befehl führt bei der Ausführung eine Neuerkennung der Netzwerkkonfiguration und der Netzwerkressourcen durch. Dieses verursacht eine erneute Zeitsynchronisation. Dieses Verfahren funktioniert nur auf Computern, die einer Domäne angehören. Wenn die Zeitsynchronisation des Zeitgeber-Dienstes fehlschlägt, können Sie dem Ereignisprotokoll die Gründe für das Fehlschlagen entnehmen. Für weitere Informationen suchen Sie nach „Überwachen und Kontrollieren von Diensten auf Computern” im Inhaltsverzeichnis der Windows-Hilfe.

Das W32tm Tool wird zur Problemdiagnose im Zusammenhang mit dem Windows-Zeitgeberdienst verwendet. Wenn Sie das Tool auf einem Domänen Controller verwenden wollen, ist es notwendig den Zeitgeberdienst vorher zu beenden. W32tm und den Zeitgeberdienst gleichzeitig auszuführen wird einen Fehlermeldung erzeugen, da beide versuchen den gleichen UDP-Anschluss zu verwenden. Wenn Sie die Arbeit mit W32tm beendet haben, muss der Dienst neu gestartet werden.

Verwandte Themen

Für weitere Informationen über den Windows-Zeitgeberdienst besuchen Sie die folgenden Seiten auf der Microsoft Web Site

www.microsoft.com/windows2000/techinfo/howitworks/security/wintimeserv.asp

www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/windows2000serv/maintain/operate/wintime.asp

Für weitere Informationen über den Windows-Zeitgeberdienst und die Registrierungsdatenbank rufen Sie “Registry Entries for the W32Time Service” auf der Microsoft Web Site auf:

support.microsoft.com/default.aspx?scid=kb;en-us;Q223184

Für weitere Informationen über das Importieren von Administrativen Vorlagen in Gruppenrichtlinien schauen Sie in den Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“.

Verwenden von Online-Quellen. Auf der Microsoft Web-Site erhalten Sie Support-Informationen, die aktuellsten Downloads und Artikel der Knowledge Base, die Support-Spezialisten bei Microsoft für Sie erstellt haben.

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q223184

http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/windows2000serv/maintain/operate/wintime.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/windows2000serv/maintain/operate/wintime.asp

http://www.microsoft.com/windows2000/techinfo/howitworks/security/wintimeserv.asp

Sie können sich „Häufig gestellte Fragen” (FAQ) zu einem Produkt anschauen, die Support Newsgroups zu Produkten durchsuchen und erreichen den Microsoft Support über die folgende Web-Site. Sie können auf dieser Web-Site außerdem die Knowledge Base nach technischen Support-Informationen und Tools zur Selbsthilfe durchsuchen.

support.microsoft.com/

Sie können unter folgender Adresse auf der Technet-Web-Site nach Informationen zur Fehlersuche, Service Packs, Patches und Downloads für Ihr System suchen:

www.microsoft.com/technet/

http://go.microsoft.com/fwlink/?LinkID=86


Windows Update und automatisches UpdateIn den folgenden Abschnitten erhalten Sie Informationen über:

Die Vorteile von Windows Update und dem automatischen Update

Wie Windows Update und das automatische Update mit Web-Sites im Internet kommunizieren

Wie Sie Windows Update und das automatische Update konfigurieren, um den Informationsfluss in und aus dem Internet zu kontrollieren

Vorteile und Nutzen

Windows Update

Windows Update ist ein Online-Katalog, angepasst für Computer auf denen Microsoft Windows XP Profession Service Pack 1 (SP1) ausgeführt wird. Es besteht unter anderem aus Treibern, wichtigen Updates, Hilfedateien und Internet Produkten. Windows Update überprüft den Computer des Benutzers und stellt eine maßgeschneiderte Liste von Updates speziell für die Hard- und Software dieses Computers zusammen. Dann ermöglicht es Windows Update dem Anwender Updates für das Betriebssystem des Computers und die Hardware auszuwählen. Die Inhalte der Windows Update Web-Site werden regelmäßig erweitert, so dass der Anwender immer die neuesten und sichersten Updates und Lösungen zur Verfügung hat.

Windows Update setzt sich aus zwei Schlüsselkomponenten zusammen:

Inhaltliches Update: Inhaltliche Updates passieren dann, wenn ein Anwender die Windows Update Web-Site besucht und einzelne Updates auswählt, um diese herunterzuladen und zu installieren. Die Windows Update Web-Site finden Sie unter:


Update des Web Service Steuerelementes: Der Windows Update Service enthält ein ActiveX Web Steuerelement, das die Updates herunterlädt und installiert. Wenn das Windows Update Team von den Kunden Feedback bekommt, kann dieses ActiveX Steuerelement angepasst werden, um die Kundenwünsche umzusetzen. Um diese neuen Inhalte und Dienste für die Kunden verfügbar zu machen, wird das ActiveX Steuerelement regelmäßig aktualisiert. Der Dienst lädt automatisch die neueste Version des Steuerelementes herunter, wenn ein Anwender die Windows Update Web-Site besucht, oder wenn ein Teil von Windows das Windows Update Steuerelement automatisch aufruft.Wie auch beim Herunterladen eines anderen ActiveX Steuerelementes, kann dem Anwender eine Sicherheitsmeldung angezeigt werden, die ihm mitteilt, dass versucht wird ein Web-Steuerelement zu installieren. Es kann sein, dass Anwender diese Meldung nicht angezeigt bekommen, zum Beispiel, wenn sie Microsoft als vertrauenswürdigen Inhaltsanbieter konfiguriert haben (über die Sicherheitseinstellungen des Microsoft Internet Explorers). Wenn ein Anwender diese Meldung nicht mit Ja bestätigt, wird das Steuerelement nicht aktualisiert.

Automatisches Update

Dieses Update ist möglich, ohne dass der Anwender aktiv werden muss. Das automatische Update ist in der Voreinstellung nicht aktiviert. Der Anwender wird nach der Installation gefragt, ob er diese Funktion aktivieren möchte. Wenn das automatische Update aktiviert ist, muss der Benutzter keine speziellen Web-Sites besuchen, oder in regelmäßigen Zeitabständen nach neuen Update schauen. Jedes Mal wenn ein neues Update verfügbar ist, erscheint stattdessen ein Benachrichtigungssymbol. Updates können dann im Hintergrund heruntergeladen werden und beeinflussen die Internetverbindung des Benutzers nur minimal. Wenn ein Update heruntergeladen ist, fragt Windows


XP den Anwender, ob das Update installiert werden soll. Um festzulegen, wie und wann Windows XP ein Update macht, gibt es drei verschiedene Einstellungsmöglichkeiten für das automatische Update. Der Anwender kann:

auswählen, dass Windows XP ihn benachrichtigt bevor Updates heruntergeladen und installiert werden.

auswählen, dass Windows XP Updates nach einem von ihm festgelegten Zeitplan herunterlädt und installiert.

auswählen, dass Windows XP ihn benachrichtigt, wenn neue Updates für seinen Computer verfügbar sind. Windows XP lädt die Updates im Hintergrund herunter. Die Arbeit des Benutzers wird nicht unterbrochen. Wenn das Herunterladen abgeschlossen ist, wird der Benutzter benachrichtigt, dass neue Updates zur Installation bereit sind.

Anwender können die Installation jedes Updates das heruntergeladen wurde ablehnen. In diesem Fall wird Windows XP die entsprechenden Dateien wieder löschen. Der Anwender kann die gelöschten Update-Dateien dann über die Seite „Leistung und Wartung“ in der Systemsteuerung erneut herunterladen, indem er auf System, automatische Updates und auf Updates Wiederherstellen klickt. (In der klassischen Ansicht der Systemsteuerung kann das Symbol System direkt geöffnet werden.)

Wenn die Updates, die der Anwender vorher abgelehnt hat, noch verfügbar sind, werden sie bei der nächsten Benachrichtigung des Benutzers über verfügbare Updates mit angezeigt.

Alternativen

Für verwaltete Umgebungen gibt es drei Alternativen für ein Windows Update

die Windows-Update-Katalog-Web-Site

den Microsoft Software Update Service (SUS)

Softwareverteilungswerkzeuge wie zum Beispiel Microsoft Systems Management Server (SMS) die zur Verteilung von Software Updates verwendet werden können.Weiterführende Informationen hierzu entnehmen Sie bitte der Dokumentation Ihrer Verteilungssoftware und dem Anhang A: „Informationsquellen für den Einsatz automatisierter Installationen“, und dort speziell dem Abschnitt “Weiterführende Dokumente und Links”.

Windows-Update-Katalog-Web-Site

Sie können Windows-Updates in einer verwalteten Umgebung verteilen, ohne dass die Benutzter sich mit der Windows Update Web-Site verbinden müssen, indem sie den Windows-Update-Katalog über folgenden Link aufrufen.

corporate.windowsupdate.microsoft.com

Der Windows Update-Katalog stellt eine umfassende Liste von Updates zur Verfügung, die in einem verwalteten Netzwerk verteilt werden können. Der Katalog stellt an einer zentralen Stelle Inhalte und Treiber mit dem „Designed for Windows“-Logo zur Verfügung. Administratoren können die Seite nach Schlüsselwörtern durchsuchen, oder vordefinierte Kriterien auswählen, um die für sie wichtigen Downloads zu finden. Diese können dann an eine beliebige Stelle im lokalen Netzwerk heruntergeladen werden.

Für weitergehende Informationen zur Verwendung der Windows Update Unternehmensseite besuchen Sie die Microsoft Web Site unter:

www.microsoft.com/windowsxp/pro/techinfo/deployment/planning/default.asp

Microsoft Software Update Services (SUS)

http://www.microsoft.com/windowsxp/pro/techinfo/deployment/planning/default.asp

http://corporate.windowsupdate.microsoft.com/

Microsoft Software Update Services (SUS) ist eine Version des Windows Updates, die für die Installation innerhalb der Firewall eines Unternehmens entwickelt wurde. Diese Möglichkeit ist nützlich für Unternehmen die:

nicht möchten, dass ihre Anwender oder Systeme eine Verbindung zu einer externen Web-Site aufbauen

die Updates erst testen möchten, bevor sie innerhalb des Unternehmens verteilt werden

Microsoft Software Update Services erlauben es dem Administrator wichtige Updates schnell und zuverlässig auf Windows 2000 Server und Clients unter Windows 2000 und Windows XP zu verteilen.

Für weitergehende Informationen zum Software Update Service besuchen Sie die Microsoft Web Site unter:

www.microsoft.com/windows2000/windowsupdate/sus/default.asp

Überblick

Anwender haben die direkte Kontrolle über das Windows Update und ob sie es aktivieren wollen oder nicht. In einer verwalteten Umgebung ist es unwahrscheinlich, dass Anwender unbegrenzte Rechte zur Installation von Treiber-Updates und Datei-Updates haben. Diese Arbeiten werden wahrscheinlich auf irgendeinem Weg von der IT-Abteilung durchgeführt. Sie können Gruppenrichtlinien verwenden, um das Windows Update und das automatische Update zu deaktivieren und um den Zugriff des Benutzers auf das Windows Update über die Benutzeroberfläche zu verhindern. Sie können ebenfalls das automatische Update über das System-Icon in der Systemsteuerung deaktivieren. Die folgenden Abschnitte beschreiben die Methoden und Vorgehensweisen um dieses zu erreichen.


Dieser Abschnitt fasst den Kommunikationsprozess zusammen:

Informationen, die gesendet oder empfangen werden: Treiber und neue Dateien (wichtige Updates, Hilfedateien und Internet-Produkte) werden möglicherweise auf den Computer des Benutzers heruntergeladen. Der Computer wird eindeutig identifiziert und in einem Installationsprotokoll festgehalten. Der Anwender wird jedoch nicht identifiziert.

Voreinstellungen und vorgeschlagene Einstellungen: Mit den Voreinstellungen erlaubt Windows XP einen Zugriff auf die Windows Update Web-Site. Die vorgeschlagenen Einstellungen sind im nächsten Abschnitt beschrieben. („Kontrollieren von Windows Update und automatischem Update um den Informationsfluss in das Internet und aus dem Internet zu steuern“)

Ausführungsintervall: Der Anwender kontrolliert, ob er ein Windows Update ausführen will, oder nicht. Wenn eine Internetverbindung besteht, wird das automatische Update jedoch einmal pro Tag automatisch ausgeführt.

Benachrichtigung des Benutzers

Windows Update: Der Anwender wird benachrichtigt, wenn Windows Update Dateien auf den eigenen Computer herunterlädt. Er kann entscheiden, ob er dieses Update installiert, oder nicht.

Automatisches Update: Administratoren können eine von zwei verschiedenen Benachrichtigungseinstellungen konfigurieren:

Den Anwender vor dem Herunterladen und Installieren jeglicher Updates benachrichtigen.

Die Updates automatisch herunterladen und den Anwender benachrichtigen, wenn sie zur Installation bereit sind.

Anmerkung Administratoren können außerdem konfigurieren, dass Updates nach einem festgelegten Zeitplan automatisch heruntergeladen und installiert werden, ohne den Anwender zu benachrichtigen.

http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp

Weiterführende Informationen entnehmen Sie bitte dem Punkt “Die Einstellungen des automatischen Updates ändern” im Hilfe- und Supportcenter.

Protokollierung: Automatische Updates werden im Ereignisprotokoll des Systems eingetragen.

Verschlüsselung: Die Daten werden über eine HTTPS-Verbindung übertragen. Die Datenpakete, die von Microsoft aus zum System des Benutzers übertragen werden, sind digital signiert.

Datenschutz: Informationen zum Datenschutz im Zusammenhang mit dem Windows Update erhalten Sie auf der Windows Update Web-Site. Klicken Sie auf „Über Windows Update“ und scrollen Sie bis zur Überschrift „Windows Update Datenschutz“. Sie finden die Windows Update Web-Site unter:


Das automatische Update arbeitet nach denselben Bestimmungen wie das Windows Update

Übertragungsprotokoll und Anschluss: Übertragungsprotokoll und Anschluss sind HTTP auf Anschluss 80 und HTTPS auf Anschluss 443.

Möglichkeit der Deaktivierung: Sie können eine Gruppenrichtlinie verwenden um Windows XP zu verbieten nach Updates zu suchen. Auf diese Weise können sie Windows Update und automatisches Update deaktivieren. Außerdem können Sie so den Zugriff des Benutzers auf das Windows Update über die Benutzeroberfläche unterbinden. Sie können das automatische Update mit Werkzeugen aus der Systemsteuerung deaktivieren. Die Vorgehensweise hierzu wird am Ende dieses Abschnittes beschrieben.


Sie können Gruppenrichtlinieneinstellungen verwenden um Windows Update und automatisches Update zu kontrollieren, indem:

sie Windows XP das Suchen und Herunterladen von Updates verbieten

den Zugriff des Benutzers auf das Windows Update entfernen

Sie können die Systemeinstellungen in der Systemsteuerung verwenden, um das automatische Update zu deaktivieren.

Alternativ können Sie beides, Windows Update und automatisches Update, unterbinden, indem Sie HTTP auf Anschluss 80 oder HTTPS auf Anschluss 443 durch die Firewall blockieren.

Die folgende Tabelle enthält weitere Informationen über die Konfigurationseinstellungen

Konfigurationseinstellungen für Windows Update und automatisches Update

Automatisches Update:Konfigurationswerkzeuge

Einstellungen Ergebnis

Systemsteuerung\System Auf der Registerkarte Automatische Updates wählen Sie Automatisches Update deaktivieren

Deaktiviert das automatische Update

Windows Update und automatisches Update:Konfigurationswerkzeuge

Einstellungen Ergebnis

Firewall Blockieren Sie HTTP-Port80 oder HTTPS Anschluss 443 oder beides

Blockiert Windows Update und automatisches Update

Gruppenrichtlinie Deaktivieren Sie die Gruppenrichtlinieneinstellung Windows automatisches Update in der Gruppenrichtlinienvorlage System.adm. Weiter Informationen finden Sie unter

Blockiert Windows Update und automatisches Update (verhindert das Windows XP nach Updates sucht)


„Verfahren um Windows Update und automatisches Update zu deaktivieren“ weiter unten in diesem Abschnitt

Gruppenrichtlinie Aktivieren Sie die Gruppenrichtlinieneinstellung Zugriff auf alle Windows-Update Funktionen entfernen in der Gruppenrichtlinienvorlage System.adm. Weiter Informationen finden Sie unter „Verfahren um Windows Update und automatisches Update zu deaktivieren“ weiter unten in diesem Abschnitt

Blockiert den Zugriff des Benutzers auf das Windows Update über die Benutzeroberfläche. Blockiert das automatische Update ebenfalls

Auswirkungen

Wenn Sie eine Gruppenrichtlinie nutzen um zu verhindern, dass Windows XP nach Updates sucht und diese herunterlädt, blockieren sie sowohl Windows Update, als auch automatische Updates

Wenn Sie den Zugriff des Benutzers auf Windows Update entfernen wird Windows weiterhin nach Updates für den lokalen Computer suchen, und dieser herunterladen. Der Anwender ist jedoch nicht in der Lage auf die Windows Update Web-Site zuzugreifen, indem er im Startmenü auf Windows Update klickt (über Start, Alle Programme, Windows Update). Auch der Weg über das Menü Extras im Microsoft Internet Explorer steht nicht mehr zur Verfügung. Der Anwender wird auch nicht zur Installation von heruntergeladenen Updates aufgefordert.Außerdem wird durch die Beschränkung des Benutzerzugriffes das automatische Update deaktiviert. Das heißt, der Anwender, für den diese Richtlinieneinstellungen aktiviert sind, wird nicht über wichtige Updates informiert und wird keine wichtigen Updates von der Windows Update Web-Site erhalten. Die Entfernung des Benutzerzugriffes auf das Windows Update ist keine Computerbasierte Richtlinieneinstellung, sondern eine Benutzerbasierte. Das bedeutet, andere Anwender auf demselben Computer werden weiterhin wichtige Updates erhalten, bis die Richtlinieneinstellung auch für diese Anwender aktiviert wird.

Den Benutzerzugriff auf das Windows Update zu entfernen, verhindert außerdem, dass der Gerätemanager automatisch Treiber-Updates von der Windows Update Web-Site installiert. Für weiterführende Informationen über die Kontrolle des Gerätemanagers schlagen Sie im Abschnitt “Gerätemanager” dieses Whitepapers nach.

Anwendungen werden durch die Blockierung von Windows Update und des automatischen Updates nicht beeinflusst.

Die Windows Update Web-Site finden Sie unter:


Deaktivierung

Sie können eine Gruppenrichtlinie verwenden, um zu verhindern, dass Windows XP nach Updates sucht. Damit verhindern Sie sowohl Windows Update, als auch das automatische Update.

Gruppenrichtlinieneinstellungen1. Stellen Sie sicher, dass Sie ein Update für die Administrative Vorlage System.adm durchgeführt

haben. Weitere Informationen erhalten Sie im Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“.

2. Abhängig davon, ob Sie das Gruppenrichtlinienobjekt (GPO) auf eine Organisationseinheit, eine Domäne oder einen Standort anwenden wollen, gehen Sie nach den Anweisungen der Hilfe vor, um die entsprechende Gruppenrichtlinie auf einem Windows 2000 Server zu öffnen. Weitere


Informationen erhalten Sie im Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“.

3. Erweitern Sie Benutzerkonfiguration, Administrative Vorlagen, und klicken Sie auf System

4. Doppelklicken Sie auf der rechten Seite auf Automatische Windows-Updates, und wählen Sie Aktiviert

Anmerkung Wenn Sie diese Einstellung deaktivieren, oder sie nicht konfigurieren, sucht Windows XP nach Updates und lädt diese automatisch herunter.

Sie können den Benutzerzugriff auf das Windows Update mit einer Gruppenrichtlinie unterbinden. Diese Einstellung wird auch das automatische Update unterbinden.

Benutzerzugriff unterbinden1. Stellen Sie sicher, dass Sie ein Update für die Administrative Vorlage Wuau.adm durchgeführt

haben. Weitere Informationen erhalten Sie im Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“.


3. Erweitern Sie Benutzerkonfiguration, Administrative Vorlagen, Windows Komponenten und klicken Sie auf Windows Update

4. Doppelklicken Sie auf der rechten Seite auf Zugriffe auf alle Windows-Update Funktionen entfernen, und wählen Sie Aktiviert

Wichtig Das Entfernen des Benutzerzugriffes deaktiviert auch das automatische Update

Sie können das automatische Update über die Systemsteuerung oder über eine Gruppenrichtlinie deaktivieren.

Deaktivierung über die Systemsteuerung 1. Klicken Sie auf Start, klicken Sie dann entweder auf Systemsteuerung oder zeigen Sie auf

Einstellungen und klicken Sie dann auf Systemsteuerung. Doppelklicken Sie auf System.

2. Auf der Registerkarte Automatische Updates wählen Sie Automatische Updates deaktivieren.

Anhänge

Anhang A: Informationsquellen für den Einsatz automatisierter Installationen Der nachfolgende Abschnitt beinhaltet:

Einen Überblick über die automatisierte Installation und Verteilung

Verfahren und Bezugsquellen Für weitere Informationen über die automatisierte Installation und Verteilung

Überblick

In einem großen Netzwerk ist es nicht sehr effektiv, Microsoft Windows 2000 oder Microsoft Windows XP Professional Service Pack 1 (SP1) mit Hilfe des interaktiven Setups auf jedem Computer einzuspielen. Um die Total-Cost-Of-Ownership (TCO) drastisch zu senken und um sicherzustellen, dass die Maschinen identisch konfiguriert sind, kann man die Installation von Windows 2000 Server und Windows XP auf vielen Computern automatisieren. Durch die Nutzung der automatisierten Installationsmethode wird sichergestellt, dass bestimmte Applikationen und Komponenten nicht, oder vorkonfiguriert, installiert werden, und zwar so, dass ungewünschter Netzwerkverkehr verhindert wird.

AnmerkungZusätzlich zur hier beschriebenen Methode der automatisierten Installation gibt es eine andere gebräuchliche Methode, um Internetverbindungen zu kontrollieren, nämlich die Nutzung eines Skriptes zur Konfiguration der lokalen Richtlinie auf jedem Computer. Das Skript kann dann mit Hilfe des Microsoft System Management Servers (SMS) verteilt werden oder es kann remote über Windows Script Host (WSH) angesteuert werden. Alternativ kann eine Gruppenrichtlinie auf den Standort, die Domäne oder die Organisationseinheit angewendet werden. Die Einstellungen werden dann beim ersten Start des Computers in der jeweiligen Domäne (Standort, OU) abgearbeitet, nachdem das Betriebssystem installiert wurde. Für weitere Informationen über Skripte und Richtlinien, siehe unter „Verwandte Themen“ am Ende dieses Kapitels.

Mit Hilfe von Skripts ist es möglich, die Aktivitäten auf einem Clientcomputer zu überwachen und passende Maßnahmen zu ergreifen, wenn bestimmte, untersagte Aktivitäten ausgeführt werden. Beispielsweise kann ein Skript beim Start einer nicht zugelassenen Anwendung durch einen User die weitere Ausführung verhindern, indem die Anwendung gestoppt wird. In gleicher Weise könne Skripte dazu genutzt werden, die Installation eines Computers zu überwachen um beispielsweise festzustellen, welche Anwendungen installiert wurden und welche Ordner freigegeben wurde. Die Konfiguration dieser Skripte wird in diesem Dokument nicht behandelt, jedoch hilft auch hier ein Blick in die „Verwandte Themen“ am Ende dieses Kapitels.

Es gibt einige Möglichkeiten die Installation zu automatisieren. Einige oder alle der folgenden Hilfsprogramme stellen sicher, dass alle Clientrechner so konfiguriert werden, dass die Kommunikation mit dem Internet minimiert wird:

Unbeaufsichtigte Installation mit Hilfe des Setups (Winnt32.exe)

Die unbeaufsichtigte Installation vereinfacht die Installation des Betriebssystems auf mehreren Computern mit Hilfe einer selbst erstellten, angepassten Antwortdatei, welche die Fragen des Standardsetups automatisch beantwortet. Durch das Ausführen von Winnt32.exe mit den passenden Optionen wird die unbeaufsichtigte Installation ausgeführt.

Mit Hilfe von Winnt32.exe ist ein Upgrade von einer Vorgängerversion des Betriebssystems möglich, ohne die Benutzereinstellungen zu verlieren. Allerdings kann auch ein frisches Betriebssystem angepasst mit Hilfe der Antwortdatei installiert werden. Die letzte Methode ist sicherlich die beste Option, um den Netzwerkverkehr einzuschränken, vorausgesetzt die

Antwortdatei ist passend vorbereitet. Details über konkrete Einträge in Antwortdateien finden Sie in den jeweiligen Kapiteln dieses Whitepapers.

Remote Installation Services (RIS)

RIS kann dazu benutzt werden, Betriebssystemabbilder oder komplette Installationen inklusive Desktopeinstellungen und Anwendungen zu erstellen. Diese Abbilder können anschließend an die Benutzer zur Installation auf den Clientrechnern verteilt werden. Weiterhin kann bestimmt werden, welcher RIS-Server Installationen für bestimmte Clientrechner zur Verfügung stellt – oder ein RIS-Server stellt alle Installationen bereit.

Imagebasierte Installation unter Verwendung des Systemvorbereitungs-Tools Sysprep.exe

Imagebasierte Installation ist eine gute Wahl, wenn es darum geht, identische Konfigurationen auf beliebig vielen Rechnern bereitzustellen. Auf einem Masterrechner wird das Betriebssystem mitsamt Anwendungen, die auf den Zielrechnern verfügbar sein sollen, installiert. Anschließend wird Sysprep ausgeführt und danach das Disk-Imaging Programm. Sysprep bereitet die Festplatte auf dem Masterrechner so vor, dass das Disk-Imaging Programm das Festplattenimage auf die anderen Rechner transferieren kann. Diese Methode reduziert die Zeit, die für die Verteilung benötigt wird, dramatisch im Vergleich zu einer Standard- oder unbeaufsichtigten Installation. Das Image wird in ein Installationspaket umgewandelt und gepackt und enthält nur die Dateien die für die genaue Konfiguration benötigt werden. Zusätzliche Plug-and-Play Treiber, welche für andere Systeme benötigt werden, können ebenfalls in das Image integriert werden. Das Image kann auf eine CD gebrannt und an Zweigstellen mit schlechter Netzanbindung verteilt werden.

Systemverwaltungssoftware, wie Microsoft System Management Server (SMS)

Diese Software ist hilfreich, wenn es darum geht die verschiedensten Aufgaben einer automatisierten Installation auf vielen Servern und Clientrechnern innerhalb einer Organisation durchzuführen. Diese Aufgaben beinhalten:

Auswahl der Rechner, die für das Betriebssystem ausgerüstet sind und die zukünftig unterstützt werden sollen

Verteilung der Quelldateien für die Installation des Betriebssystems an alle Standorte, inklusive entfernter Standorte sowie Standorte ohne technisches Personal.

Überwachung der Verteilung an allen Standorten

Sicheres Zuweisen der passenden Benutzerrechte, die für das Upgrade benötigt werden.

Automatisches Auslösen der Installation von Softwarepaketen mit der Möglichkeit für den Anwender, die Installation zeitlich zu steuern.

Lösen von Problemen im Zusammenhang mit der Verteilung oder Installation

Berichtsgenerierung über den Fortschritt und Erfolg der Verteilung

Die Nutzung von Systemverwaltungs-Software stellt sicher, dass die Rechner in einer Organisation über ein einheitliches Betriebssystem mit standardisierter Konfiguration verfügen. Dies reduziert auch ungewünschte Netzwerkkommunikation.

Weitere Informationsquellen

Nutzung der Windows 2000 Hilfe

Die Windows 2000 Hilfe beschreibt die unbeaufsichtigte Installation, RIS und die Image-Basierte Installation. Auf diese Dokumentationen können von jedem Rechner mit Internetzugang (unabhängig vom Betriebssystem) oder von jedem Server mit installierten Windows 2000 zugegriffen werden. Die nachfolgenden Anweisungen beschreiben dies detailliert.

Um Zugriff auf die Hilfe auf einem Server mit laufendem Windows 2000 zu bekommen

1. Öffnen Sie die Hilfe für ein Windows 2000 Server Produkt wie folgt:

Auf jedem Rechner mit Windows 2000 Server, Windows 2000 Advanced Server oder Windows 2000 Datacenter Server, klicken sie Start, anschließend Hilfe.Klicken Sie auf den Reiter Inhalt. Wenn der Reiter Inhalt nicht sichtbar ist, klicken sie auf Einblenden, und drücken anschließend den Reiter Inhalt.

Hilfe im Internet bekommen Sie unter:


2. Finden Sie das gewünschte Thema wie folgt:

Unbeaufsichtigte Installation: Erste Schritte mit Windows 2000 Server\Installieren von Windows 2000 Server\Grundbegriffe\Planen eines unbeaufsichtigten Setup-Vorgangs

RIS-Benutzer und Computer\Remoteinstallationsdienste

Verwandte Themen

Zusätzliche Informationen über alle hier im Anhang vorher beschriebenen Themen finden sich an vielen verschiedenen anderen Orten wieder:

Auf der Windows XP CD befinden sich Informationen zum Thema unbeaufsichtigte Installation in der Datei Deploy.chm in \Support\tools\deploy.cab.

Die Windows 2000 Hilfe im Internet beinhaltet Informationen über Winnt32.exe:

www.microsoft.com/windows2000/en/advanced/help/wgs_gs_03016.htm

Für ausführliche Informationen über die unbeaufsichtigte Installation und dem System Management Server schauen Sie sich folgende Themen des Windows 2000 Resource Kit im Internet an:

"Automating Server Installation and Upgrade" :www.microsoft.com/windows2000/techinfo/reskit/en-us/deploy/dgcb_ins_adeb.asp

"Using Systems Management Server to Deploy Windows 2000" :www.microsoft.com/windows2000/techinfo/reskit/en-us/deploy/dggf_sms_zunm.asp

Informationen über die automatisierte und angepasste Installation können auch im Windows XP Resource Kit im Internet gefunden werden:


Für allgemeine Informationen zum Thema Gruppenrichtlinien siehe Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“ und Anhang C: „Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3“..

Nähere Informationen zu bestimmten Einstellungen in Gruppenrichtlinien für Windows XP SP1 Rechner siehe in der Tabelle „Windows XP Professional Resource Kit, Group Policy Object Settings“ unter:


Die Windows 2000 Hilfe Dokumentation auf der CD und im Internet beinhaltet ebenfalls Informationen zum Thema „Windows Script Host“.

www.microsoft.com/windows2000/en/advanced/help/sag_WSHtopnode.htm

http://www.microsoft.com/windows2000/en/advanced/help/sag_WSHtopnode.htm



http://www.microsoft.com/windows2000/techinfo/reskit/en-us/deploy/dggf_sms_zunm.asp

http://www.microsoft.com/windows2000/techinfo/reskit/en-us/deploy/dgcb_ins_adeb.asp

http://www.microsoft.com/windows2000/en/advanced/help/wgs_gs_03016.htm


Anhang B : Informationsquellen für den Einsatz von GruppenrichtlinienDer nachfolgende Anhang beinhaltet:

Einen Überblick über Gruppenrichtlinien

Weiterführende Informationen zu Gruppenrichtlinien

Überblick

Wie schon in früheren Kapiteln dieses Whitepapers beschrieben, können Gruppenrichtlinien dazu benutzt werden viele Komponenten von Windows XP Professional Service Pack 1 (SP1) zu konfigurieren – entweder so, dass Benutzern der Zugriff auf diese Komponenten verweigert wird, oder so, dass die Art und Weise wie diese Komponenten mit dem Netzwerk kommunizieren vordefiniert wird. Die Einstellungen der Gruppenrichtlinien definieren in verschiedenster Art und Weise die vom Administrator verwaltete Desktopumgebung des Benutzers. So kann, zum Beispiel, definiert werden, welche Anwendungen verfügbar sind und wie diese Anwendungen arbeiten.

Gruppenrichtlinien beinhalten Einstellungen, die sich auf den angemeldeten Benutzer beziehen und Einstellungen, welche den Rechner beeinflussen. Unter anderem kann man mit Hilfe von Gruppenrichtlinien:

Bestimmte Anwendungen einzelnen Benutzern nicht verfügbar machen

Zuweisung von Skripten (Anmelden und Abmelden für Benutzer, Start und Herunterfahren für Computer)

Festlegen von Sicherheitsoptionen

Verwalten von Registrierungsbasierten Richtlinien durch administrative Vorlagen. Gruppenrichtlinien erzeugen eine Datei mit den entsprechenden Registrierungseinstellungen die wiederum im User-Abschnitt oder Maschinen-Abschnitt der jeweiligen Registry abgelegt werden. Wenn ein Benutzer sich auf einer bestimmten Maschine anmeldet, werden seine Einstellungen unter HKEY_CURRENT_USER (HKCU) abgelegt. Die rechnerspezifischen Einstellungen liegen unter HKEY_LOCAL_MACHINE (HKLM).

Anwendung

Benutzereinstellungen werden bei der Anmeldung umgesetzt. Computereinstellungen werden während der Bootphase übernommen.

Reihenfolge der Anwendung

Richtlinien werden in dieser Reihenfolge angewendet:

1. Lokales Gruppenrichtlinienobjekt (Group Policy Object(GPO)). (Ein Gruppenrichtlinienobjekt ist eine Sammlung von Richtlinieneinstellungen)

2. Gruppenrichtlinienobjekte des Standortes, in vorgegebener Reihenfolge

3. Gruppenrichtlinienobjekte für Domänen, in vorgegebener Reihenfolge

4. Gruppenrichtlinienobjekte für Organisationseinheiten, von der übergeordneten zur untergeordneten Organisationseinheit, in einer für jede Organisationseinheit vorgegebenen Reihenfolge.

Standardmäßig überschreiben später angewendete Richtlinien im Konfliktfall die Einstellungen der vorhergehenden Richtlinie. Gibt es keinen Konflikt, addieren sich die gesamten Einstellungen aller Richtlinien zur so genannten effektiven Richtlinie.

Vererbungsblockierung

Richtlinieeinstellungen, welche normalerweise durch einen Standort, einer Domäne oder einer höheren Organisationseinheit vererbt würden, können in der jeweiligen Ebene durch Vererbungsblockierung blockiert werden.

Durchsetzen einer übergeordneten Richtlinie

Richtlinieneinstellungen würde normalerweise durch nachfolgende Richtlinien im Konfliktfall überschrieben. Das Setzen von „Kein Vorrang“ („No Override“; Anmerkung des Übersetzers) beim bevorzugten Richtlinienobjekt verhindert dies. Richtlinien, die mit „Kein Vorrang“ gekennzeichnet sind, können nicht durch Vererbungsblockierung blockiert werden.


Windows 2000 Hilfe

Die Windows 2000 Hilfe beschreibt ausführlich die Konzepte hinter den Gruppenrichtlinien und die entsprechenden Verfahren. Auf diese Dokumentationen können von jedem Rechner mit Internetzugang (unabhängig vom Betriebssystem) oder von jedem Server mit installierten Windows 2000 zugegriffen werden. Die nachfolgenden Anweisungen beschreiben dies detailliert.

Hilfe zu Gruppenrichtlinien1. Öffnen Sie die Hilfe für ein Windows 2000 Server Produkt wie folgt:

Auf jedem Rechner mit Windows 2000 Server, Windows 2000 Advanced Server oder Windows 2000 Datacenter Server, klicken sie Start, anschließend Hilfe.Klicken Sie auf den Reiter Inhalt. Wenn der Reiter Inhalt nicht sichtbar ist, klicken sie auf Einblenden, und drücken anschließend den Reiter Inhalt.

Hilfe im Internet bekommen Sie unter:


2. Doppelklick auf Benutzer und Computer

3. Doppelklick auf Gruppenrichtlinie

Verwandte Themen

Weitere Informationen zum Thema Gruppenrichtlinien gibt es unter:

„Windows 2000 Group Policy Reference“ (Windows 2000 Resource Kit):

www.microsoft.com/windows2000/techinfo/reskit/en-us/w2rkbook/gp.asp

“Using Group Policy to Manage Desktops” (Windows XP Professional Resource Kit (Part II, Chapter 5,”Managing Desktops”) :

www.microsoft.com/technet/prodtechnol/winxppro/reskit/prda_dcm_jplq.asp

http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/prda_dcm_jplq.asp

http://www.microsoft.com/windows2000/techinfo/reskit/en-us/w2rkbook/gp.asp


Um mehr über einzelne Gruppenrichtlinieneinstellungen zu erfahren, die auf Rechner unter Microsoft Windows XP Service Pack 1 (SP1) angewendet werden sollen, siehe Tabelle „Windows XP Professional Resource Kit, Group Policy Settings“:


Informationen über das Erstellen von administrativen Vorlagen zur Konfiguration von Anwendungen, siehe:

www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp



Anhang C: Import von Richtlinieneinstellungen für Windows XP auf einen Server unter Windows 2000 SP3Microsoft Windows XP Professional Service Pack 1 (SP1) hat neue Richtlinieneinstellungen, die über das hinausgehen, was unter Windows 2000 Service Pack 3 (SP3) verfügbar ist. Um die neuen Richtlinieneinstellungen von einem Server unter Windows 2000 aus zu konfigurieren und um die Einstellungen auf Windows XP Rechner anwenden zu können, müssen zuallererst die administrativen Vorlagen zu Windows XP auf den Server unter Windows 2000 kopiert werden.

Anmerkung Die Richtlinieneinstellung für Windows XP wirken sich nur auf Windows XP Rechner aus und werden von allen Rechnern unter Windows 2000 ignoriert. Keine einzige Richtlinieneinstellung von Windows XP wirkt sich auf das Verhalten der Windows 2000 Rechner aus.

Themen die innerhalb dieses Anhanges behandelt werden:

Eine Übersicht über administrative Vorlagen

Verfahren zur Aktualisierung auf die neuesten administrative Vorlagen

Überblick

Gruppenrichtlinien benötigen eine Grundlage für die Generierung der Benutzerschnittstelle (MMC) die der Administrator benötigt um Einstellungen an den Gruppenrichtlinien durchführen zu können. Zu diesem Zweck werden kodierte Textdateien, welche auch als administrative Vorlagen (.adm-Datei) bekannt sind, ausgewertet. Das .adm-Datei besteht in seiner Struktur aus einer Hierarchie von Kategorien und Unterkategorien welche zusammen die Konfigurationsoptionen bilden, die durch die grafische Schnittstelle für die Definition von Gruppenrichtlinien dargestellt werden.

Windows XP beinhaltet die folgenden aktualisierten administrativen Vorlagen.

System.adm: konfiguriert Grundeinstellungen.

Wmplayer.adm: konfiguriert den Windows Media Player.

Conf.adm: konfiguriert NetMeeting Konferenz Software.

Inetres.adm: konfiguriert den Microsoft Internet Explorer.

Wuau.adm: konfiguriert das Windows Update.

Um die administrativen Vorlagen von Windows XP unter einem Windows 2000 Server nutzen zu können, müssen die .adm-Dateien von einem Rechner unter Windows XP auf den Windows 2000 Server kopiert werden.

Upgrade des Servers

Um den Windows 2000 Server mit den neuesten .adm-Dateien für die Unterstützung von Windows XP auszustatten:1. Lokalisieren des Ordners WINDOWS/INF auf einem Windows XP System (dort befinden sich

die .adm-Dateien)

2. Kopieren der benötigten .adm-Dateien in einen freigegebenen Ordner (je nach benötigten Komponenten).

3. Öffnen eines Gruppenrichtlinienobjektes auf einem Windows 2000 Server im Gruppenrichtlinienobjekteditor. Für nähere Information zu diesem Schritt, siehe Anhang B:

„Informationsquellen für den Einsatz von Gruppenrichtlinien“. – dort wird die Verwendung der Hilfe für Gruppenrichtlinienobjekte vorgestellt.

4. Rechtsklick auf Administrative Vorlagen, dabei spielt es keine Rolle ob die Benutzer- oder die Computerkonfiguration geöffnet ist. Auswahl von Vorlagen hinzufügen/entfernen.

5. In der Dialogbox: Entfernen der Windows 2000-basierten .adm-Dateien.

6. In der Dialogbox: Hinzufügen der Windows XP-basierten .adm-Dateien aus dem freigegebenen Ordner.

7. Wiederholung der Schritte 3 – 6 für jedes Gruppenrichtlinienobjekt, in dem XP-Einstellungen benötigt werden.

AnmerkungenFolgendes sollte beim Einsatz von administrative Vorlagen bedacht werden:

In einer gemischten Umgebung sollten ausschließlich XP-.adm-Dateien für die Administration von Gruppenrichtlinienobjekten genutzt werden.

Die Einstellungen sowohl für Windows XP als auch für Windows 2000 sollten, wenn möglich, identisch sein. Benutzer die sich an verschiedenen Betriebssystemen anmelden machen dann überall die gleichen Erfahrungen.

Testen der Richtlinien vor der Verteilung.

Lokale Richtlinien auf einzelnen Maschinen sollten ebenfalls durch Gruppenrichtlinienobjekte definiert werden. Kein Einpflegen von Einstellungen per Hand.

Verwandte Themen

Für weitere Informationen zum Thema „Verwalten von Windows XP in einem Windows 2000 Server Umfeld“ gibt es ein Whitepaper unter:

www.microsoft.com/windowsxp/pro/techinfo/administration/policy/default.asp

Allgemeine Informationen zum Thema Gruppenrichtlinien siehe Anhang B: „Informationsquellen für den Einsatz von Gruppenrichtlinien“.

Um mehr über einzelne Gruppenrichtlinieneinstellungen zu erfahren, die auf Rechner unter Microsoft Windows XP Service Pack 1 (SP1) angewendet werden sollen, siehe Tabelle „Windows XP Professional Resource Kit, Group Policy Settings“:


Informationen über das Erstellen von administrativen Vorlagen zur Konfiguration von Anwendungen, siehe:

www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp



http://www.microsoft.com/windowsxp/pro/techinfo/administration/policy/default.asp

Anhang D: Application Compatibility Toolkit

Vorteile und Nutzen

Das Application Compatibility Toolkit beinhaltet Tools und Dokumente welche dem IT Profi bei der Planung und dem Einsatz von Microsoft Windows XP Professional Service Pack 1 oder Windows 2000 behilflich sind. Diese Ressourcen sind ebenso hilfreich für Entwickler bei der Erstellung von kompatiblen Applikationen für diese Betriebssysteme.

Das Application Compatibility Toolkit ist für Administratoren und Entwickler bestimmt. Es wird nicht automatisch während des Setups des Betriebssystems installiert. Die Informationen in diesem Anhang liefern Ihnen einen Überblick über das Toolkit und erklären die Internetverbindungen, die vom Toolkit aufgebaut werden.

Einsatz

Das Application Compatibility Toolkit beinhaltet folgende Tools:

Application Verifier (AppVerifier)

Compatibility Administration Tool (CompatAdmin)

Page Heap (PageHeap)

Quick Fix Application (QFixApp)

Application Verifier

Application Verifier (AppVerifer) ist ein grafisches Tool (GUI) und hilft IT-Managern und Entwicklern, Applikationen auf Windows XP zu testen. Es soll allgemeine Punkte die sich um die Applikationsqualität kümmern, wie Heap Corruption, Schutzverletzungen und Registry Benutzung entdecken. Das Tool tut dies durch Überwachung der Applikationsinteraktion mit dem Betriebssystem und protokolliert die Benutzung von Kernel-Objekten, der Registrierung, dem Dateisystem und der Win32 APIs.

Compatibility Administration Tool

Dieses Verwaltungsprogramm bietet eine Schnittstelle für die Arbeit mit den Kompatibilitätsdaten und -features auf Windows XP-Computern. Sie können beliebige interne Systemupdates aktivieren oder deaktivieren, Systemlaufwerke nach aktualisierten Programmen durchsuchen und mehrere Update-Pakete erstellen, die zur Behebung von Kompatibilitätsproblemen weitergegeben und auf anderen Computern installiert werden können.

Anmerkung Die empfohlene Vorgehensweise für die Lösung von Kompatibilitätsproblemen sieht vor, dass Sie mit Hilfe von Quick Fix den Kompatibilitätsmodus bestimmen und diese Informationen im Compatibility Administrator zur Erstellung einer Datenbankdatei für die Lösung weiterverwenden.

Page Heap

Das Kommandozeilentool Page Heap ist ein leistungsfähiges Programm zur Suche nach Heap-bezogenen Fehlern, Schäden und (in geringerem Umfang) Lecks in Programmen, die auf Windows XP-basierten Computern sowie auf Systemen mit Windows 2000 Professional laufen.

Page Heap fügt zwischen Anwendung und System eine Schicht zur Softwarevalidierung ein (Page Heap Manager), die sämtliche dynamischen Speichervorgänge (Speicherzuweisung, Speicherfreigabe und andere Heapvorgänge) überprüft. Ist der Page Heap Manager aktiviert, gibt es eine Option, die Anwendung in einem Debugger zu testen. Wird ein Bug entdeckt, verursacht dies eine Debugger-Unterbrechung.

Quick Fix Application

Dieses grafische Tool stellt fest, welche Kombination von Fixes ein Kompatibilitätsproblem löst. Hat Ihre Datei einen häufig vorkommenden Namen (setup.exe) versieht Quick Fix sie mit den notwendigen Informationen und Attributen, um die Eindeutigkeit der Datei zu gewährleisten.

Installation

Das Application Compatibility Toolkit wird über Anschluss 80 via Internet installiert. Sie können die neuste Version auf Windows XP, Windows 2000 SP3 oder höher über den folgenden Link installieren:

www.microsoft.com/windowsxp/appexperience/default.asp

Auf der Windows XP CD unter dem Ordner \Support \Tools befindet sich ebenso die Datei ACT20.EXE. Diese Datei verlinkt sie zu der neusten Version des Toolkits im Internet.

Bei der ersten Installation des Application Compatibility Toolkit erscheint eine Übersicht. Es wird ihnen eine Liste der Tools, Dokumente und Online Ressourcen angezeigt. Aus dieser Übersicht, können sie alle Tools installieren und auf alle Dokumente zugreifen. Viele der Tools und Dokumente aus dieser Übersicht benötigen eine Verbindung ins Internet. Details des Kommunikationsprozesses werden im nächsten Unterkapitel beschrieben.


Um das Application Compatibility Toolkit installieren zu können, müssen sie mit dem Internet verbunden sein. Sie müssen sich bewusst sein, dass sowohl die Tools als auch Dokumente aus dem Toolkit, wie in diesem Unterkapitel beschrieben, mit dem Internet kommunizieren können. Durch das Toolkit können eine Vielzahl von Internetverbindungen entstehen, Arbeiten sie an einem Computer oder in einer Organisation, in der strenge Richtlinien für die Kommunikation mit dem Internet bestehen, können Sie die Verbindungen des Toolkits beschränken.

Application Verifier und Compatibility Administration Tool

Wenn sie eines der beiden Tools starten, werden sie gefragt, ob sie nach Updates suchen möchten. Wenn sie „nein“ auswählen, wird keine Verbindung mit dem Internet hergestellt. Wenn sie ja auswählen, wird eine Verbindung mit dem Internet zur Microsoft Web-Site hergestellt. Das Tool benutzt eine HTTP-Anfrage über Anschluss 80 um Informationen aus einer Textdatei, von dem Webserver, zu erhalten. Diese Information wird im Arbeitsspeicher des Clients aufbewahrt. Die Informationen aus der Textdatei werden dazu benutzt, um die Version, welche auf dem Computer installiert ist, mit der Neuesten zu vergleichen. Ist eine neuere Version verfügbar, wird der Benutzer über das neue Update informiert und ein Link angezeigt, von dem der Benutzer das Update manuell herunterladen kann. Vom Client werden keine Informationen während der Überprüfung der Version ins Internet gesendet.

Die Überprüfung auf Updates kann automatisch erfolgen oder manuell bei der Benutzung des Tools.

Page Heap und Quick Fix Application

http://www.microsoft.com/windowsxp/appexperience/default.asp

Diese beiden Applikationen erstellen keine Verbindungen über das Internet.

Dokumentationen

Die Übersichtsseite bei der ersten Nutzung des Application Compatibility Toolkit beinhaltet verschiedene Links zu einer Vielzahl von Dokumenten. Einige dieser Dokumente können nur über das Internet erreicht werden. Die Links dieser Dokumente sind mit einem Globussymbol versehen. Sind sie mit dem Internet verbunden und können durch klicken auf einen dieser Links das Dokument öffnen.

Die Übersicht beinhaltet ebenso einen Link zum Microsoft Application Compatibility Analyzer. Dieser Link verbindet sie über das Internet mit der Seite, von der aus sie dieses Tool downloaden können (aktuell unter Development).

Anhang E: Gemeinsam genutzte Internetverbindung (ICS) und Internetverbindungsfirewall (ICF) Die Funktion der gemeinsam genutzten Internetverbindung sowie die Internetverbindungsfirewall von Windows XP Professional Service Pack 1 (SP1) ist für kleine Netzwerke und Heimnetzwerke entwickelt worden. Informationen über diese Funktionen werden im folgenden Text beschrieben, so das sie sich als Administrator einen Überblick über diese Funktionen und ihrer Einsatzmöglichkeit in ihrem Unternehmensnetzwerk verschaffen können.

Der Anhang beinhaltet folgende Informationen:

Eine Übersicht der gemeinsam genutzten Internetverbindung und der Internetverbindungsfirewall.

Wie kann die gemeinsam genutzte Internetverbindung sowie die Internetverbindungsfirewall in großen Unternehmensnetzwerken eingesetzt werden?

Wie kann der Einsatz der gemeinsam genutzte Internetverbindung und der Internetverbindungsfirewall kontrolliert und verhindert werden?

Überblick

In kleinen Netzwerken sowie in Heimnetzwerken kann ein Administrator, mit der gemeinsam genutzten Internetverbindung (ICS), mit nur einer Internetverbindung mehrer Computer mit dem Internet verbinden. Zum Beispiel: Sie haben einen Computer, der über eine DFÜ-Verbindung mit dem Internet verbunden ist. Wenn auf einem Computer ICS aktiviert ist (ICS-Host), können die anderen Computer über die DFÜ-Verbindung des ICS-Hosts mit dem Internet verbunden werden.

Die gemeinsam genutzte Internetverbindung (ICS) ist für Netzwerke gedacht, indem der ICS-Host direkt mit dem Internet und den anderen Computern verbunden ist. Es wird angenommen, dass der ICS-Host der einzige Computer, in einem Heimnetzwerk oder bei kleinen Netzwerken, mit einer direkten Internetverbindung ist.

Die Internetverbindungsfirewall (ICF) wird in Verbindung mit dem ICS eingesetzt. Diese Firewallsoftware kann vom Administrator zur Einschränkung der Kommunikation vom Internet ins eigene Netzwerk genutzt werden.

Hinweis In einem Netzwerk mit Windows 2000 Servern, Domänen Controllern, DNS Servern, Routern (Gateways), DHCP Servern oder Systemen mit statischen IP-Adressen sollte der ICS Service nicht eingesetzt werden.

Einsatz

Während die gemeinsam genutzte Internetverbindung (ICS) und die Internetverbindungsfirewall (ICF) für Heim- und kleine Netzwerke bestimmt ist, kann ein Administrator in einem großen Netzwerk die gemeinsam genutzte Internetverbindung in einem einzelnen Computer mit einer direkten Internetverbindung einrichten. Administratoren können mit Hilfe des ICS einen Computer als Internetgateway für kleine Netzwerke konfigurieren. Der ICS-Host stellt dann Dienste wie Namesauflösung, IP-Adressierung und Dynamic Host Configuration Protocol (DHCP) für das lokale private Netzwerk zur Verfügung.

Der Administrator kann die Firewall zum Schutz der öffentlichen Verbindung von einzelnen Computern und kleinen Netzwerken, die mit dem Internet verbunden sind, aktivieren. ICF kann als „stateful“ Firewall betrachtet werden. Eine „stateful“ Firewall ist eine Firewall welche jegliche Kommunikation, die über sie läuft, auf Quell- und Zieladresse untersucht.

Eine Organisation welche Domänencontroller, DHCP, Domain Name System (DNS) und/oder andere Funktionen der Netzwerkinfrastruktur einsetzt, sollte nicht ICS und ICF benutzten. Stattdessen, sollte eine dedizierte Firewall für die gesamte Organisation eingesetzt werden.

Es gibt Beispiele, dass eine Firewall auf einem Anwendercomputer Lücken in der Firewall der Organisation aufdecken kann, insbesondere wenn eine DFÜ-Verbindung einen Tunnel zu einem bestimmten Computer öffnet.

Aufgrund solcher Lücken, ist es sehr wichtig, alle Methoden in betracht zu ziehen, mit deren Hilfe Ihre Anwender Netzwerkverbindungen erstellen. Auch sollten Sie prüfen, ob Ihre Sicherheitsmaßnahmen die nötige Komplexität aufweisen.

Sowohl ICS und ICF sind standardmäßig deaktiviert, aber der Administrator kann einen oder beide Dienste aktivieren in dem er die Einstellungen unterhalb der Systemsteuerung\Netzwerkverbindungen\Netzwerk ändert. In einer verwalteten Umgebung könnte es sein, dass sie nicht wollen, dass die Möglichkeit der Aktivierung einer gemeinsam genutzten Internetverbindung oder eine Internetverbindungsfirewall zur Verfügung steht.

Steuerung von ICF und ICS

Durch den Einsatz von Antwortdateien bei der Erstinstallation oder nach der Installation durch den Einsatz von Gruppenrichtlinien können Sie verhindern, dass Administrator und Benutzer Zugang zu dieser Funktionen erhalten. Die Komponenten der gemeinsam genutzten Internetverbindung können unter Verwendung einer Antwortdatei bei der unbeaufsichtigten Installation ausgeschlossen werden. Über die Gruppenrichtlinien kann man bei bereits eingesetzten Windows XP SP1 Systemen ICS und ICF deaktivieren.

Unbeaufsichtigte Installation mit Antwortdatei

Durch den Einsatz von Standard Methoden bei der unbeaufsichtigten Installation oder remote Installation können Sie bei der Installation von Workstations die gemeinsam genutzten Internetverbindung deaktivieren. In der Antwortdatei unterhalb der Sektion [Homenet] kann man Einträge für die Einstellungen der Heimnetzwerke für Netzwerkadapter, die Installation der gemeinsam genutzten Internetverbindung und die Internetverbindungsfirewall setzen. Für die Internetverbindungsfirewall kann man auswählen, welcher Adapter für den ICF aktiviert werden muss. Um die gemeinsam genutzten Internetverbindungen zu deaktivieren benutzen sie folgenden Eintrag in der Antwortdatei:

[Homenet]EnableICS = No

Weitere Informationen über die unbeaufsichtigte Installation und die Installation über RIS finden Sie in Anhang A: „Informationsquellen für den Einsatz automatisierter Installationen“.

Gruppenrichtlinien

Im Folgenden werden Gruppenrichtlinieneinstellungen für die Deaktivierung von ICS und ICF in einem Großunternehmensnetzwerk beschreiben

Im Folgenden sind Gruppenrichtlinieneinstellungen zum deaktivieren von ICS und ICF in großen Unternehmensnetzwerken beschrieben:

Verwendung der gemeinsamen genutzten Internetverbindung im eigenen DNS-Domänennetzwerk nicht zulassen

Diese Richtlinie legt fest, ob Administratoren die Funktion für eine gemeinsame Nutzung der Internetverbindung verwenden können und ob der Dienst für eine gemeinsame Nutzung der Internetverbindung auf dem Computer ausgeführt werden kann.

Verhindert die Verwendung der Internetverbindungsfirewall im eigenen DNS-Domänennetzwerk

Diese Richtlinie legt fest, ob Benutzer die Funktion für die Internetverbindungsfirewall für eine Verbindung aktivieren können und ob der Dienst auf einem Computer ausgeführt werden kann.

Wichtig: Diese Einstellung ist standortabhängig. Sie gilt nur, wenn ein Computer mit demselben DNS-Domänennetzwerk verbunden ist, mit dem er zu dem Zeitpunkt verbunden war, als die Einstellung auf diesem Computer aktualisiert wurde. Wenn ein Computer mit einem anderen DNS-Domänennetzwerk verbunden ist als dem, mit dem er zum Zeitpunkt der Einstellungsaktualisierung verbunden war, gilt diese Einstellung nicht.

Die Richtlinien befinden sich unter Computerkonfiguration \Administrative Vorlagen \Netzwerk \Netzwerkverbindungen. Die Konfigurationsmöglichkeiten sind in der folgenden Tabelle beschrieben.

Einstellungen der Gruppenrichtlinien für die gemeinsam genutzte Internetverbindung und die Internetverbindungsfirewall

Richtlinien Einstellungen Erklärung

Verwendung der gemeinsamen genutzten Internetverbindung im eigenen DNS-Domänennetzwerk nicht zulassen (aktiviert)

Wenn Sie diese Einstellung aktivieren, kann die gemeinsame Nutzung der Internetverbindung nicht von Administratoren aktiviert oder konfiguriert werden, und der Dienst für eine gemeinsame Nutzung der Internetverbindung kann nicht auf dem Computer ausgeführt werden. Die Registerkarte "Erweitert" im Dialogfeld „Eigenschaften" für eine LAN- oder RAS-Verbindung wird entfernt. Die Registerkarte "Gemeinsame Nutzung der Internetverbindung" wird aus dem Assistenten für neue Verbindungen entfernt. Der Netzwerkinstallations-Assistent wird deaktiviert.

Documents

Der Einsatz von XP Professional mit Service Pack 1gwise.itwelzel.biz/Microsoft/Der Einsatz von XP Professio… · Web viewDer zugriff auf Internet Web-Sites kann durch den Einsatz