Der Verkaufsstart von Windows 7 ist nun
offiziell: ab 22.10.2009 wird Windows 6.1 (so die interne Versionsnummer) in
den Regalen stehen (Vergleich: Windows Vista hatte 6.0). Gemeinsam mit Windows
7 wurde auch das binärkompatible Serverbetriebssystem Windows Server
2008 R2 (dieser nur mehr als 64 bit-Version) entwickelt.
|
Die mit Windows Vista eingeführten
Sicherheitsfeatures wurden benutzerfreundlicher, außerdem wurde der
Ressourcenbedarf im Hinblick auf Netbooks optimiert. Bild rechts:
Verpackungsdesign von Windows 7 (Quelle: Microsoft)
|
|
Microsoft Windows 7-Oberfläche
Übersicht: Microsoft
Client-Betriebssysteme (alle Logos © Microsoft)
Microsoft hat sechs verschiedene Editionen
auf den Markt gebracht. Die Editionen bauen auf einander auf; das bedeutet, die
nächst-größere Edition enthält immer alle Features der "kleineren"
Edition.
|
Home-
und Consumer-Bereich
|
Business-Bereich
|
|
|
|
Windows 7 Home Premium
- Windows Aero Benutzeroberfläche
- Kein Domänenbetrieb
- Windows Media Center
- DVD-Brenner
- Windows Tablet-Technologie
- Windows Mobility Center
- HomeGroup erstellen
- MultiTouch-Unterstützung
|
Windows 7 Enterprise
- Windows Aero Benutzeroberfläche
- Domänenbetrieb möglich
- Windows Tablet-Technologie
- Windows Mobility Center
- BitLocker, BitLocker-to-Go
- AppLocker
- Direct Access
- BranchCache
|
|
Windows 7 Home Basic
- Windows 7
Standard-Benutzeroberfläche
- Kein Domänenbetrieb
- Backup
- HomeGroup beitreten
|
Windows 7 Professional
- Windows Aero Benutzeroberfläche
- Windows Tablet-Technologie
- Windows Fax und Scan
- Domänenbetrieb möglich
|
|
- Für Netbooks
- Keine Begrenzung gleichzeitig
laufender Programme
- Kein Media Player
|
Windows 7 bringt gegenüber dem Vorgänger Windows Vista neue
Features in folgenden Bereichen:
- Benutzerfreundlichkeit:
- Neue Tools für Kommunikation, Mobilität und Netzwerk
- Paint und Wordpad überarbeitet (neue Oberfläche)
- Sicherheit:
- Benutzerkontensteuerung (User Account Control, UAC) fein
abstimmbar
- AppLocker
- BitLocker-to-Go zur Verschlüsselung von USB-Sticks
- Netzwerk:
- DirectAccess
- BranchCache
- VPN Reconnect
- Bereitstellung:
- Installation basierend auf WIM-Format (Windows Image)
- Neues DISM-Tool
- Verwaltbarkeit:
- PowerShell 2.0 ist integrierter Bestandteil von Windows 7
- Integrierte Problembehandlungspakete
- Problemaufzeichnung
- Produktivität
- Neue Taskleiste
- Neue Aero-Features: Aero Peek, Aero
Snap, Aero Shake
|
Anders als bei Windows Vista gibt es nun
nur ein einziges Logo, das auf die Einhaltung bestimmter Microsoft-Vorgaben
hinweist. Das Logo „Windows 7 Compatible“ wird sowohl für getestete
Hardware als auch für getestete Software vergeben.
|
|
Für optimalen Betrieb empfohlen (um Aero
Glass darstellen zu können):
·
CPU intel Pentium 4 oder AMD Athlon 64 FX, 64 X2
Dual Core mit mind. 1,6 GHz Taktfrequenz
·
1 GB RAM (32 bit), 2 GB RAM (64 bit)
·
AGP 8x oder PCI Express 16-Kanal für Grafikhardware
·
Farbtiefe mind. 32 bit
·
Grafikkarte: WDDM-Unterstützung, DirectX 9-GPU,
128 MB Grafikspeicher
·
16 GB (32 bit) bzw. 20 GB (64 bit) freier
Festplattenspeicherplatz
In allen bisherigen Windows-Versionen
begann der zeitaufwändige Installationsvorgang mit einem anfänglichen
Textmodus-Installationsschritt, bei dem jede einzelne Betriebssystemdatei
dekomprimiert und installiert wurde, alle Registrierungseinträge erstellt und
sämtliche Sicherheitseinstellungen zugewiesen wurden. Diese
Textmodus-Installationsphase gibt es seit Windows Vista nicht mehr.
Stattdessen wird von der Windows 7-DVD ein
„Mini-Betriebssystem“, Windows PE 3.0 (PE = Preinstallation Environment)
gestartet.
Es gibt auf der Windows 7-DVD – so wie
bereits bei Windows Vista - kein Verzeichnis \i386 mit allen einzelnen
Betriebssystemdateien, stattdessen findet man nur eine einzige WIM-Datei (WIM =
Windows Image), die eine komplette (mit sysprep generalisierte) Installation
aller Vista-Editionen enthält. Grundsätzlich wird dieses Image vom
Setup-Programm auf die Festplatte kopiert und danach angepasst.
In der obigen Abbildung ist die Struktur
der Windows 7-DVD gut erkennbar: Im Verzeichnis \sources befindet sich die 2,3
GB große Datei install.wim, in der alle Windows 7-SKUs enthalten
sind.
Windows 7 gibt es auch nur in einer
einzigen Sprachversion (einer „neutralen“ Version), die sprachspezifischen
Komponenten werden im Nachhinein in das Image integriert.
Der Installationsablauf ist ähnlich wie bei
Windows Vista, nur bei der Partitionierung gibt es Unterschiede:
Neu in Windows 7 ist die Erstellung einer
zusätzlichen Partition für die Startdaten; damit ist es nicht mehr nötig, bei
der Aktivierung von BitLocker eine Umkonfiguration der Partitionen
durchzuführen. Auch die neuen Möglichkeiten "Boot von VHD" und
"Wiederherstellungsdatenträger" nützen diese neue Konfiguration.
Obwohl von Microsoft grundsätzlich eine Neuinstallation
empfohlen wird, ist es möglich, ausgehend von Windows XP SP2 oder Windows Vista
SP1 ein In-Place-Upgrade auf Windows 7 durchzuführen.
2.2.1
Windows 7 Upgrade Advisor
Es ist dabei allerdings ratsam, vor dem In-Place-Upgrade mit
dem Windows 7 Upgrade Advisor (Gratisdownload von der
Microsoft-Homepage verfügbar) zu testen, ob das System für Windows 7 geeignet
ist.
Als Ergebnis wird beispielsweise angezeigt:
2.2.2
Windows Easy Transfer:
Mit Windows Easy Transfer können Einstellungen auf einen
neuen PC übertragen werden.
Windows Easy Transfer finden Sie in der Windows 7-DVD im
Ordner \support\migwiz.
2.2.3
In-Place-Upgrade von Windows Vista auf Windows 7
Beachten Sie:
·
Beim Upgrade kann keine "eingeschränktere" SKU gewählt
werden. So können Sie Windows Vista Ultimate nur auf Windows 7 Ultimate
upgraden.
·
Achten Sie darauf, dass das aktuellste Service Pack auf der
upzugradenden Maschine eingespielt ist.
Windows Vista-PC starten, Windows 7-DVD einlegen.
Wählt man "Kompatibilität online prüfen", so
landet man auf der Download-Seite des Windows 7 Upgrade Advisors. Wählt man
"Jetzt installieren", so wird ein In-Place-Upgrade durchgeführt.
Es gibt auch unterstützende Komponenten
(Microsoft Deployment, OPK für Vista), die aber im Rahmen eines eigenen
Spezialskriptums abgehandelt werden.
Das auch in kleinen Umgebungen sinnvollen
Tool ist das Windows Automated Installation Kit (WAIK)
Grundsätzlich reicht es, das WAIK von der
Microsoft-Homepage herunterzuladen. Es wird als ISO-Image vertrieben und muss
auf eine DVD gebrannt werden (etwa mit Nero).
Das WAIK 1.1, das mit Windows Vista
erschien, bietet folgende Möglichkeiten:
·
Enthält Windows PE 2.1
·
Verteilung von WIM-Images
·
Enthält PEImg.exe
·
User State Migration Tool (USMT) muss separat
heruntergeladen werden
Das WAIK 2.0 erscheint zeitgleich
mit Windows 7 und hat folgende Eigenschaften:
·
Enthält Windows PE 3.0
·
Verteilung von WIM- und VHD-Images möglich
·
Enthält DISM.exe
·
Mit ImageX können mehrere Images gleichzeitig
geändert werden
·
USMT 4.0 ist Bestandteil von WAIK 2.0
2.3.1
Unbeaufsichtigte Installation mit Antwortdatei:
Hinweis: Der
grundsätzliche Unterschied zu Windows Vista besteht im Anlegen von zwei
Partitionen, einer Startpartition C: mit den Systemdateien von Windows
sowie einer erweiterten Systempartition mit dem Boot Configuration Store ohne
Laufwerksbuchstaben.
|
Komponente
|
Wert
|
|
Microsoft-Windows-Setup\DiskConfiguration
|
WillShowUI = OnError
|
|
Microsoft-Windows-Setup\DiskConfiguration\Disk
|
DiskID = 0
WillWipeDisk =
true
|
|
Microsoft-Windows-Setup\DiskConfiguration\Disk\CreatePartitions\CreatePartition
|
Extend = false
Order = 1
Size = 200
Type = Primary
|
|
Microsoft-Windows-Setup\DiskConfiguration\Disk\CreatePartitions\CreatePartition
|
Extend = true
Order = 2
Type = Primary
|
|
Microsoft-Windows-Setup\DiskConfiguration\Disk\ModifyPartitions\ModifyPartition
|
Format = NTFS
Label = System
Letter = C
Active = true
Order = 1
PartitionID = 1
|
|
Microsoft-Windows-Setup\DiskConfiguration\Disk\ModifyPartitions\ModifyPartition
|
Format = NTFS
Label = Windows
Order = 2
PartitionID = 2
|
|
Microsoft-Windows-Setup\ImageInstall\OSImage\
|
InstallToAvailablePartition=false
WillShowUI = OnError
|
|
Microsoft-Windows-Setup\ImageInstall\OSImage\InstallTo
|
DiskID = 0
PartitionID = 2
|
Das Tool Deployment Image Servicing and
Management (DISM.exe) ist Bestandteil des WAIK für Windows 7 und ersetzt PEimg.exe,
Intlcfg.exe, and Pkgmgr.exe.
Images können mit DISM.exe angepasst
werden:
·
Language Packs
·
Optionale Komponenten
·
Spezielle Treiber
Das Tool ist standardmäßig im Ordner Program Files\Windows
AIK\Tools\x86\Servicing zu finden; gegebenenfalls ist
für 64 bit-Plattformen statt "x86" der Ordner "ia64" bzw.
"amd64" zu verwenden.
Schritt 1: Informationen über ein Installation-Image
abrufen:
C:\>dism
/get-wiminfo /wimfile:C:\Win7\install.wim
Deployment
Image Servicing and Management tool
Version:
6.1.7000.0
Details
for image : C:\Win7\install.wim
Index
: 1
Name
: Windows 7 STARTER
Description
: Windows 7 STARTER
Size
: 7.812.816.332 bytes
Index
: 2
Name
: Windows 7 HOMEBASIC
Description
: Windows 7 HOMEBASIC
Size
: 7.832.401.805 bytes
Index
: 3
Name
: Windows 7 HOMEPREMIUM
Description
: Windows 7 HOMEPREMIUM
Size
: 8.273.446.705 bytes
Index
: 4
Name
: Windows 7 PROFESSIONAL
Description
: Windows 7 PROFESSIONAL
Size
: 8.154.793.226 bytes
Index
: 5
Name
: Windows 7 ULTIMATE
Description
: Windows 7 ULTIMATE
Size
: 8.313.453.582 bytes
The
operation completed successfully.
Schritt 2: Wenn wir
beispielsweise Treiber zu Windows 7 Ultimate hinzufügen wollen, dann mounten
wir zunächst das Image mit dem Index 5 einem zu einem bestimmten Ordner, etwa
C:\Servicing:
C:>dism
/mount-wim /wimfile:C:\win7\install.wim /index:5 /mountdir:C:\Servicing
Deployment
Image Servicing and Management tool
Version:
6.1.7000.0
Mounting
image
[==========================100.0%==========================]
The
operation completed successfully.
Wir überprüfen, ob der Vorgang
erfolgreich war:
C:\>dism
/get-mountedwiminfo
Deployment
Image Servicing and Management tool
Version:
6.1.7000.0
Mounted
images:
Mount
Dir : C:\Servicing
Image
File : C:\win7\install.wim
Image
Index : 5
Mounted
Read/Write : Yes
Status
: Ok
The
operation completed successfully.
Um herauszufinden, welche Treiber
bereits im Image enthalten sind, können wir folgende Syntax verwenden:
C:\>dism
/image:C:\Servicing /get-drivers
Deployment
Image Servicing and Management tool
Version:
6.1.7000.0
Image Version:
6.1.7100.0
Liste der
Treiber von Drittanbietern wird aus dem Treiberspeicher abgerufen...
Treiberpaketauflistung:
Veröffentlichter
Name : oem0.inf
Originaldateiname
: prnms001.inf
Posteingang :
Nein
Klassenname :
Printer
Anbietername :
Microsoft
Datum
: 21.06.2006
Version
: 6.1.7100.0
The
operation completed successfully.
Schritt 3: Erstellen Sie nun
eine Ordnerstruktur (etwa C:\Drivers) mit allen benötigten Treibern. Fügen Sie
die Treiber dem gemounteten Image wie folgt hinzu:
C:\>dism
/image:C:\Servicing /add-driver /driver:C:\Drivers\VX6000\vx6000.inf
Deployment
Image Servicing and Management tool
Version:
6.1.7100.0
Image
Version: 6.1.7100.0
Found
1 driver package(s) to install.
Installing
1 of 1 - C:\Drivers\VX6000\vx6000.inf: The driver package was successfully
installed.
The operation
completed successfully.
Mit dem Schalter /get-drivers überprüfen
wir, ob der gewünschte Treiber tatsächlich zu unserem Image hinzugefügt worden
ist:
C:\>dism
/image:C:\Servicing /get-drivers
Deployment
Image Servicing and Management tool
Version:
6.1.7100.0
Image Version:
6.1.7100.0
Liste der Treiber
von Drittanbietern wird aus dem Treiberspeicher abgerufen...
Treiberpaketauflistung:
Veröffentlichter
Name : oem0.inf
Originaldateiname
: prnms001.inf
Posteingang :
Nein
Klassenname :
Printer
Anbietername :
Microsoft
Datum :
21.06.2006
Version : 6.1.7100.0
Veröffentlichter
Name : oem1.inf
Originaldateiname
: vx6000.inf
Posteingang :
No
Klassenname :
Image
Provider Name
: Microsoft
Datum : 18.07.2008
Version :
5.5.3.74
The
operation completed successfully.
Schritt 4: Zuletzt unmounten wir das Image:
C:\>dism
/unmount-wim /mountdir:C:\Servicing /commit
Deployment
Image Servicing and Management tool
Version:
6.1.7100.0
Image
File : C:\Images\install.wim
Image
Index : 5
Saving
image
[==========================100.0%==========================]
Unmounting
image
[==========================100.0%==========================]
The
operation completed successfully.
Windows 7 bietet bei entsprechender
Hardwareleistung die erweiterten grafischen Darstellungsmöglichkeiten von Aero
Glass. Windows Aero ist eine Umgebung mit einem zusätzlichen Grad an visueller
Ausgereiftheit, die reaktionsschneller und verwaltbarer ist und
Windows-Benutzern mehr Übersichtlichkeit und Benutzerfreundlichkeit bietet.
Windows 7 Aero bietet spektakuläre visuelle
Effekte, wie z. B. transparente Benutzeroberflächenelemente. Die
Transparenz kann individuell angepasst werden: Unter Systemsteuerung – Darstellung
und Anpassung – Anpassung – Fensterfarbe und -darstellung muss die Option
„Transparenz aktivieren“ aktiviert werden.
Unschärfe ausschalten: Unter Windows Vista wurde das Aero Theme eingefügt, Aero ermöglicht
einen Blick hinter das aktuelle Fenster, indem der Fensterrahmen transparent
ist. Das Bild dahinter ist aber unscharf (blurry, blurred), unter Vista konnte
man das nicht ändern, unter Windows 7 gibt es jetzt eine Option dafür: Im
Registryeditor navigiert man zum Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM und erstellt einen neuen DWORD-Wert
mit dem Namen "HideBlur". Wenn man ihn auf 1 stellt, ist das
"Blur" (die Unschärfe) ausgeschaltet, auf 0 ist sie eingeschaltet.
Nachdem man den Key eingestellt hat muss man entweder zweimal STRG+Shift+F9
drücken oder neu starten, um den Effekt sichtbar zu machen.
Natürlich kann Aero Glass auch
„ausgeschaltet“ werden, dafür ist es nötig, in den Darstellungseinstellungen
als Farbschema „Windows 7 Basis“ auszuwählen.
Wird der Mauszeiger auf einem
Taskleistenelement belassen, erscheint eine Live-Miniaturansicht des Fensters
samt Inhalt. Die Live-Miniaturansicht wird unabhängig davon angezeigt, ob das
Fenster minimiert ist oder nicht und ob der Inhalt des Fensters ein Dokument,
Foto oder gar ein laufendes Video bzw. ein laufender Prozess ist.
Sie können Miniaturansichten von Elementen
in der Taskleiste anzeigen, indem Sie den Mauszeiger auf diesen belassen.
Aero Snap:
Aero Snap ist eine neue und nützliche Funktion von Windows
7. Wenn ein Fenster an der Titelleiste so lang verschoben wird, bis die Maus
einen Rand des Bildschirms erreicht, wird Aero Snap bzw. eine Aktion ausgelöst.
Aktives Fenster maximieren:
·
Ziehen Sie das Fenster an der Titelleiste an den oberen
Bildschirmrand.
·
Windows-Taste und Pfeil nach oben
Aktives Fenster in seiner ursprünglichen Größe
wiederherstellen:
·
Ziehen Sie das Fenster an der Titelleiste vom oberen
Bildschirmrand weg.
·
Windows-Taste und Pfeil nach unten
Aktives Fenster vertikal maximieren/wiederherstellen:
·
Doppelklick am oberen oder unteren Fensterrand
·
Windows- und Shift-Taste und Pfeil nach oben/unten
Zwei Fenster nebeneinander darstellen:
·
Ziehen Sie ein Fenster an der Titelleiste an den linken
Bildschirmrand, dann das andere Fenster wieder an der Titelleiste an den rechte
Bildschirmrand.
·
Windows-Taste und Pfeil nach links/rechts
Dieses "Andocken" kann
durch Wegziehen bzw. Windows/Pfeil wieder rückgängig gemacht werden.
Aero Peek:
Beim Wechsel zwischen einzelnen Anwendungen
mit ALT + TAB wird jetzt das jeweilige Programm in der Originalgröße und am
Originalplatz dargestellt und alle anderen Fenster transparent geschaltet.
Damit ist eine "Vorschau" auf das entsprechende Programmfenster
möglich.
Es gibt in der Taskleiste rechts unten ein
neues Symbol, das bei aktiver Aero-Darstellung alle Fenster transparent macht.
Dieser Effekt kann auch mit der Tastenkombination WINDOWS + Leertaste erreicht
werden. Klickt man auf das Symbol, so werden alle Fenster minimiert und der
Desktop dargestellt.
Dieses Feature kann auch über die Eigenschaften der Taskleiste
ausgeschaltet warden:
Aero Shake:
Um alle Fenster außer das aktive zu
minimieren, "schütteln" Sie das aktive Fenster mit der Maus. Derselbe
Effekt wird mit der Tastenkombination WINDOWS + POS1 erreicht.
Flip/Flip3D:
Mit "Flip" können Sie (über ALT+TAB)
von einem geöffneten Fenster zum nächsten wechseln (Task-Manager), wobei für
jedes Fenster eine Live-Miniaturansicht anstatt eines allgemeinen Symbols mit
einem Dateinamen angezeigt wird. Mit Hilfe von Live-Miniaturansichten können
Sie das gewünschte Fenster schnell ermitteln, insbesondere wenn mehrere Fenster
desselben Typs geöffnet sind. "Flip 3D" ermöglicht das Verwenden des
Bildlaufrads der Maus zum Sichten mehrerer geöffneter Fenster und
anschließenden Auswählen des gewünschten Fensters.
STRG + ALT + TAB: Flip bleibt stehen, bis
eine Auswahl getroffen wurde.
Mit Hilfe von "Flip" können Sie
geöffnete Fenster einfacher anzeigen und zum gewünschten Fenster wechseln.
"Flip 3D" ermöglicht die
Navigation durch geöffnete Fenster mit dem Bildlaufrad der Maus oder durch die
Tastenkombination WINDOWS+TAB.
Bibliotheken (engl. Libraries) sollen den Anwendern
erlauben, einfach auf Daten über einen zentralen Ort zuzugreifen, egal wo sie
gespeichert sind. Bibliotheken stellen also für den Anwender eine konsolidierte
Sicht dar, die Dateien so zeigt, als wären sie in einem einzigen Ordner
gespeichert.
Bibliotheken beruhen auf Links zu mehreren Ordnern. Die
Datenquelle darf daher nicht gelöscht werden!
Windows 7 liefert vier Standardbibliotheken mit: Dokumente,
Musik, Bilder und Videos. Diese vier Standardbibliotheken sind standardmäßig
mit Ordnern verknüpft, die sich im eigenen Benutzerprofil befinden
(siehe Seite 97).
Jede dieser Bibliotheken kann konfiguriert werden:
·
Inkludieren bestehender Ordner in die Bibliothek (auch von
Windows XP/Vista-Computern im Netzwerk)
·
Angabe, welcher Ordner als Standardspeicherort der Bibliothek
dienen soll
·
Optimierung für den Dateityp, der in der Bibliothek gespeichert
werden soll (auswählbar sind Dokument, Musik, Bilder, Videos und allgemeine
Objekte).
·
Freigabe der Bibliothek für andere Benutzer in
der "Homegroup"
Hinweis: Der Windows-Explorer startet
standardmäßig in der Bibliotheks-Ansicht!
Selbstverständlich können auch neue
Bibliotheken angelegt werden:
Die ehemalige "Quickstart-Leiste"
ist weggefallen; dafür ist es nun möglich, beliebige Programme in die
Taskleiste anzuheften.
Es ist möglich, Programme vom Startmenü in
die Taskleiste zu "pinnen", der umgekehrte Vorgang ist aber nicht
vorgesehen.
Hinweis: Das Anheft-Verhalten kann mit
Gruppenrichtlinien gesteuert werden.
Zieht man eine Datei mit gedrückter
Umschalt-Taste auf die Taskleiste, so wird das mit der Datei verknüpfte Programm
angeheftet, nicht eine Verknüpfung zur Datei selbst.
Durch die Größe der Symbole wird klar,
welche Programme gerade aktiv (gestartet) sind.
Mehrere Instanzen eines Programms bzw.
mehrere geöffenete Fenster werden zu einem einzigen Symbol gruppiert (Beispiel:
Powerpoint-Symbol). Diese Gruppierung erfolgt aber nicht auf Basis einer GUID,
die dem Programm zugeordnet ist, sondern auf Grund einer maximal 128 Zeichen
langen AppID der Form Company.Product.SubProduct.Version.
Wenn Sie auf ein Programmsymbol mit der
rechten Maustaste klicken, dann sehen Sie eine "Sprungliste" mit den
zuletzt mit diesem Programm geöffneten Dateien.
3.5.1
Kernpunkte:
Das Vista-Startmenü wurde vorsichtig weiterentwickelt, aber in
seinen Grundzügen beibehalten. Es werden immer alle Programme angezeigt; die Desktopsuche
ist nach wie vor im Startmenü integriert.
In der Standardeinstellung stehen aber
einige bekannte Menüpunkte nicht zur Verfügung, zum Beispiel „Ausführen“.
Es gibt kein
eigenes Menü "Herunterfahren" mehr, dieser Menüpunkt versteckt sich
im "Pfeilmenü":
Das Startmenü kann über die Systemsteuerung oder über die
Eigenschaften der Taskleiste angepasst werden. So ist etwa die Standardaktion
des „Power-Knopfs“ konfigurierbar.
3.5.3
Speichern von Dateien:
Beim Speichern von Dateien wird
standardmäßig immer in eine passende Bibliothek (Library) verzweigt. So wird
als Standardspeicherort für WordPad-Dokumente die Bibliothek
"Dokumente" vorgeschlagen:
Durch Anklicken
von „Ordner durchsuchen“ bekommt man eine Reihe häufig verwendeter
Verknüpfungen, wie Desktop, Heimnetzgruppe, Computer oder Netzwerk:
Unter Windows 7 müssen Sie sich nicht mehr
merken, wo Sie einzelne Dateien gespeichert haben. Statt dessen müssen Sie sich
zum Auffinden einer Datei nur noch eine dateibezogene Information merken, wie
z. B. ein in einem Dokument enthaltenes Wort, den Sänger eines Lieds oder
das Datum, an dem ein Foto geschossen wurde. Mit Hilfe leistungsstarker,
integrierter Desktopsuchfunktionen können Sie nahezu alles auf Ihrem Computer
schnell finden, ohne eine Ordnerstruktur durchsuchen zu müssen. Sie können
beispielsweise im neuen Startmenü einfach einen Begriff, eine Wortfolge, eine
Eigenschaft oder einen Teil eines Dateinamens in das integrierte Feld zur
Schnellsuche eingeben, um sofort das gewünschte Element zu finden.
Für das Suchen
gibt es eine eigene Suchsyntax (Advanced Query Syntax; AQS). Zum Beispiel
beginnt das Suchen nach Datum mit "datum:", gefolgt von einem
Vergleichsoperator (z.B. =), gefolgt vom Suchdatum (datum:=08.06.2009):
Um Suchen noch effizienter zu gestalten,
ermöglicht Windows 7 das Hinzufügen oder Bearbeiten von Dateieigenschaften
oder Daten, die mit einer Datei verknüpft sind, wie z. B. eines
Schlüsselbegriffs für ein Dokument, den Sänger eines Lieds oder das Datum, an
dem ein Foto gemacht wurde, damit Sie die entsprechende Datei künftig schneller
finden können.
Sie können beispielsweise Fotos, die bei
einer Abschlussfeier gemacht wurden, den Schlüsselbegriff
"Abschlussfeier" hinzufügen, wenn Sie diese auf dem Computer
speichern. Wenn Sie später nach "Abschlussfeier" in
"Schnellsuche" im Startmenü oder der Windows-Fotogalerie suchen,
werden alle Fotos der Abschlussfeier angezeigt.
Dazu starten
Sie den Windows Explorer, zeigen auf die zu ändernde Datei und wählen in der
Eigenschaftsleiste am unteren Rand des Explorers "Markierungen". Dort
tragen Sie die Schlüsselwörter getrennt durch Strichpunkt ein und klicken dann
auf „Speichern“.
Alternativ
können diese Einträge auch in den Dateieigenschaften (Karteikarte „Details)
durchgeführt werden:
Das Ausfüllen
der Registerkarte "Details" greift im Dokumenteordner. Wenn mann im
Bilderordner ein Bild (erzeugt mit Paint; Jpeg-Format) beschlagwortet
(Markierungen ergänzt), wird das von der Desktopsuche nicht verwertet. Wenn das
Bild (jpeg-Datei) in den Dokumenteordner kopiert wird, greift das. In der
Systemsteuerung ist das Suchen auch am Bilderordner aktiviert.
Geben Sie Schlüsselwörter in das
Schnellsuchfeld in der neuen Systemsteuerung ein, um die gewünschte
Systemeinstellung rasch zu finden.
Dieses neue Feature in Windows 7 erlaubt Suchvorgänge in
entfernten Datenquellen aus Windows Explorer heraus. Dies wird durch einen
Such-Connector ermöglicht, einer XML-Datei, die dem OpenSearch v1.1-Standard
entspricht. Doppelklick man auf eine Search Connector Description (.osdx)-Datei,
so wird die durch diese Datei definierte Datenquelle in die Windows Explorer-Suche
integriert.
Beispiel: Die folgende XML-Datei wird die Inhalte von YouTube
(http://www.youtube.com) in die Windows Desktopsuche integrieren:
<?xml
version="1.0"
encoding="UTF-8"?><OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="http://schemas.microsoft.com/opensearchext/2009/">
<ShortName>Youtube</ShortName>
<Description>OpenSearch
Youtube via Windows 7 Search.</Description>
<Url
type="application/rss+xml" template="http://www.youtube.com/rss/tag/{searchTerms}.rss&num=10&output=rss"/>
<Url
type="text/html"
template="http://www.youtube.com/results.aspx?q={searchTerms}"/>
</OpenSearchDescription>
Speichern Sie diese Datei als YouTube.osdx ab und klicken
Sie doppelt darauf.
In das Menü "Favoriten" wird ein zusätzlicher
Eintrag "YouTube" hinzugefügt. Nun ist es möglich, die Desktopsuche
auf die Web-Datenquelle auszudehnen.
Hinweis: Ab Windows 7 Enterprise Edition ist es auch
möglich, SharePoint-Sites mit OpenSearch zu durchsuchen.
Für die Eingabe mathematischer Ausdrücke
wählen Sie unter Alle Programme – Zubehör – Mathematik-Eingabebereich. Auf
einem Touchscreen können Sie mit dem Stift eingeben, ansonsten können Sie die
Eingaben auch mit der Maus machen.
Seit Windows Vista können Minianwendungen
(sogenannte „Gadgets“) mit wichtigen Informationen auf dem Desktop eingeblendet
werden. In Windows 7 können diese beliebig auf dem Desktop angeordnet werden,
einen "Sidebar" gibt es nicht mehr. Außerdem ist dort auch der
Zugriff auf den Kalender oder auf häufig verwendete Tools möglich.
Die Einrichtung erfolgt in der Systemsteuerungs-Rubrik
"Darstellung und Anpassung":
In Verbindung mit Windows 7 wird auch der Internet Explorer
8 mit einigen zusätzlichen Features ausgeliefert. In Europa soll Windows 7 in
einer speziellen "E"-Variante ohne vorinstallierten IE8 erscheinen.
Die wichtigsten Neuerungen:
3.9.1
InPrivate-Filterung
InPrivate-Browsen verhindert, dass Internet Explorer Daten
über Ihre Browsersitzung speichert. Dies umfasst Cookies, temporäre
Internetdateien, Verläufe sowie weitere Daten. Symbolleisten und Erweiterungen
sind standardmäßig deaktiviert.
Wenn das InPrivate-Browsen aktiviert ist, wird dieser
Indikator angezeigt:
3.9.2
WebSlices
Ein Web Slice ist ein bestimmter Bereich einer Webseite, den
Sie abonnieren können. Mithilfe von Web Slices können Sie erkennen, wenn
aktualisierte Inhalte, z. B. die aktuelle Temperatur oder ein sich ändernder
Auktionspreis, auf Ihren bevorzugten Websites verfügbar sind. Nachdem Sie den
Web Slice abonniert haben, wird er als Link auf der Favoritenleiste angezeigt.
Bei der Aktualisierung des Web Slice wird der Link auf der Favoritenleiste mit
fetter Formatierung angezeigt. Sie können dann auf den Link klicken, um den
aktualisierten Inhalt anzuzeigen.
Die folgende Schaltfläche ist nur verfügbar, wenn eine
Website WebSlices unterstützt:
Der WebSlice erscheint in der Favoritenleiste.
Erweiterte RSS-Feed- und Webslice-Einstellungen können Sie
im Menü Internetoptionen in der Karteikarte Inhalte konfigurieren:
3.9.3
W3-Konformität, Kompatibilitätsmodus
Manch Website wird mit dem Internet Explorer 8 künftig
anders aussehen als bisher gewohnt. Schuld daran ist die mit dem neuen Browser
verbundene Umstellung auf die internationalen Standards für die
Darstellungsformen HTML, CSS und XML, die für die Programmierung der
Internetseiten genutzt werden. Mit ihnen lassen sich etwa Überschriften
einheitlich gestalten, Rahmen bauen oder Texte mit unsichtbaren
Zusatzinformationen versehen.
Der neue Internet Explorer hält sich als einziger Browser
nun strikt an die Vorgaben des World-Wide-Web-Konsortiums, das die Richtlinien
für die Befehle streng vorgibt. Der Nachteil in der Praxis: Beim
Online-Netzwerk MySpace etwa rutschte im Test so mancher Kasten etwas zu weit
nach links, im Videoportal YouTube quetschte der Browser in der Darstellung
Schaltflächen zusammen.
Das ahnten die Microsoft-Entwickler freilich bereits und
bauten einen „Kompatibilitätsmodus“-Knopf ein: Landet man auf einer nicht
sauber angezeigten Seite, dann genügt ein Mausklick – und der Browser zeigt die
jeweilige Website wieder korrekt an.
Sie können in Internet Explorer 8 eine
Liste mit Websites erstellen, die in der Kompatibilitätsansicht angezeigt
werden sollen. Wählen Sie auf der Befehlsleiste die Option Extras und dann
Einstellungen der Kompatibilitätsansicht aus, um der Liste Websites
hinzuzufügen bzw. Websites aus ihr zu entfernen. Es sind auch Optionen zum
Anzeigen aller Websites und Intranetsites in der Kompatibilitätsansicht
verfügbar.
3.9.4
Schnellinfos
Ist etwa ein Begriff auf einer Website unklar, wird dieser
einfach markiert und anschließend über das kleine Schnellinfo-Symbol an
Wikipedia oder andere Dienste geschickt. Das spart Mausklicks und Zeit. Die
Informationen zu dem Begriff werden direkt angezeigt.
Welche Funktionen man in seiner
Schnellinfo-Liste wünscht, lässt sich dabei individuell festlegen. Möglich sind
neben der Wikipedia-Anbindung etwa noch ein Übersetzungsdienst, sowie die
Google- oder lokale Suche. Speziell mit Letzterer lässt sich etwa von der
Website des Italieners in der Nähe blitzschnell dessen exakter Standort
ermitteln. Auch Dienste wie Ebay, Xing oder Facebook lassen sich abfragen. Ein
echter Pluspunkt, denn die Schnellinfos erledigen komfortabel nebenbei
Aufgaben, für die man vorher umständlich im Netz weitersuchen musste.
Unter http://www.ieaddons.com/de/ erhält man eine Übersicht verfügbarer Plug-Ins für den IE8.
Beispiel:
3.9.5
SmartScreen-Filter
Mit dem neuen SmartScreen-Filter trägt Internet Explorer 8
nun dazu bei, Sie vor der unbemerkten Installation von Malware oder bösartiger
Software zu schützen, die eine Gefährdung der Sicherheit Ihrer Daten, des
Datenschutzes und Ihrer Identität darstellt und zudem Ihren Computer und
wertvolle Daten beschädigen kann.
Wir empfehlen allen Benutzern, SmartScreen zu aktivieren,
Sie können den Filter jedoch jederzeit aktivieren oder deaktivieren. Zudem
können Sie einen Beitrag zur Verbesserung des Webs leisten, indem Sie mithilfe
dieses Tools verdächtige Websites melden.
Wenn der SmartScreen-Filter aktiviert ist und Sie versuchen,
eine Website aufzurufen, die als unsicher eingestuft ist, wird der folgende
Bildschirm angezeigt, und Sie werden aufgefordert, eine andere Aktion
auszuführen.
Im Menü Zubehör kann man die Bildschirmausgabe auf einen
Projektor bzw. einen Netzwerkprojektor (Videobeamer mit Netzwerkanschluss)
erweitern.
Ist der Projektor über eine IP-Adresse erreichbar, so müssen
die entsprechenden TCP-Ports in der lokalen Firewall freigeschaltet werden:
3.11.1 Multi-Touch
Eine Neuerung unter Windows 7 wird die erweiterte
Eingabemöglichkeit auf Touchscreens sein. Nun ist es möglich, zwei oder mehr
Berührungen gleichzeitig durchzuführen.
Das schafft die Möglichkeit, auf einer virtuellen Tastatur
Tastenkombinationen einzugeben oder die Größe eines Fotos durch
„Auseinanderziehen“ zu ändern.
OEMs werden die Möglichkeit haben, das Microsoft Touch
Pack für Windows 7, welches 6 Multi-Touch-optimierte
Anwendungen enthält, auf den
PCs ihrer Kunden ganz oder teilweise zu installieren. Zu diesen Anwendungen
gehören Microsoft Surface Globe (mit einer 3D-Darstellung der Erde) oder
Microsoft Surface Collage zum Anordnen von Fotos (siehe Abbildung oben).
3.11.2 Tablet-PC:
Handschrifterkennung
Windows® 7 stellt eine Vielzahl von Tablet PC-Verbesserungen
für die Handschrifterkennung bereit, u. a. folgende Neuigkeiten:
·
Unterstützung der Handschrifterkennung, Personalisierung und Textvorhersage
in neuen Sprachen (Deutsch, Französisch, Spanisch, …)
·
Unterstützung für handgeschriebene mathematische Ausdrücke
·
Personalisierte benutzerdefinierte Wörterbücher für die
Handschrifterkennung
·
Neue Integrationsfunktionen für Softwareentwickler
Nach wie vor können gängige
Administrationstätigkeiten über die Systemsteuerung durchgeführt werden.
Die Systemsteuerung gruppiert die Symbole
in Aufgabenbereiche (die bis Windows Vista vorhandene "klassische"
Ansicht gibt es nicht mehr).
Die Ansicht der Systemsteuerung kann auch
so umkonfiguriert werden, dass für jede *.cpl-Datei (Abkürzung für „Control
Panel“) ein großes oder kleines Symbol angezeigt wird:
Im Systemsteuerungspunkt „Darstellung und Anpassung“ können
Sie unter „Anzeige“ die Bildschirmdarstellung, die Auflösung und weitere
Parameter anpassen.
Besonderer Wert wurde auf die Lesbarkeit gelegt. So ist es
nun auf einfache Weise möglich, die Größe der Systemschriftarten festzulegen.
Werden beispielsweise zwei Bildschirme verwendet, so kann
die Anordnung der Bildschirme ebenfalls konfiguriert werden:
Die Aktivierung von „ClearType“ ist bei Verwendung tragbarer
PCs empfehlenswert.
Schließlich kann auch eine benutzerdefinierte Textgröße
festgelegt werden:
Im neuen Wartungscenter sind Sicherheitseinstellungen und
allgemeine Problembehandlungsaufgaben zusammengefasst.
4.3.1
Konfigurieren von Benachrichtigungen und Meldungen
Im Wartungscenter gibt es die Möglichkeit,
das Ausmaß von System-Benachrichtungen zu konfigurieren:
Mit Windows 7 ist auch die verstärkte Betonung von
Umweltaspekten eingeführt worden, die unter dem Schlagwort Green IT
bekannt sind.
Mit der verbesserten Unterstützung für Remoteaktivierung
über LAN (Wake on LAN, WoL) kann bei Windows 7-Computern der Stromverbrauch
gesenkt werden, indem sie in den Standbymodus wechseln und länger in diesem
Modus bleiben. Durch eine differenzierte Steuerung der Reaktivierungspakete
bleibt der Computer länger im Standbymodus. Durch Verlagern der
Protokollverarbeitung auf den Netzwerkadapter kann ein Computer im Standbymodus
weiterhin für Netzwerkverwaltungstools erreichbar bleiben, ohne reaktiviert zu
werden. Windows 7 unterstützt außerdem Remoteaktivierung über Drahtlos-LAN
(Wake on Wireless LAN, WoWLAN), wodurch Standbyszenarios auf drahtlose
Clientcomputer erweitert werden.
In Windows 7 kann der Energieverbrauch darüber hinaus
reduziert werden, indem die Stromzufuhr für den Netzwerkadapter deaktiviert
wird, wenn das Kabel getrennt wird. Wenn der Benutzer ein Kabel anschließt,
wird die Stromversorgung automatisch wiederhergestellt.
So wird zum Beispiel beim schnellen Wechsel des Energiesparmodus
über das Icon im Benachrichtigungsbereich jetzt immer der Energiesparplan Höchstleistung
mit angezeigt. Standardmäßig wird Windows 7 im Modus Ausbalanciert
betrieben, was einen guten Kompromiss zwischen Akkulaufzeit und Performance
darstellt. Immer wenn zum Beispiel ein Vortrag gehalten wird, schaltet man auf
Höchstleistung. Dieses Umschalten ist jetzt viel einfacher.
In der Systemsteuerung kann die
Energieverwaltung konfiguriert werden:
Integrierter Bestandteil von Windows 7 und Windows Server
2008 R2 ist die neue Version der PowerShell.
Die PowerShell kann im Verwaltungsmenü aufgerufen werden und
benötigt erhöhte Rechte (User Account Control).
Beim ersten Start wird versucht, Module zu importieren.
Falls eine Fehlermeldung auftritt, so müssen Sie möglicherweise zuerst die
Ausführung unsignierter Powershell-Skripts erlauben:
Set-ExecutionPolicy
Unrestricted
Ab dann können alle PowerShell-Cmdlets und –Skripts
problemlos ausgeführt werden.
Neu in PowerShell 2.0 ist die Remoting-Funktionalität. Das
bedeutet, dass Powershell-Befehle lokal eingegeben werden, aber auf einem
anderen PC (oder mehreren anderen PCs) ausgeführt werden können. Dieses neue
Feature beruht auf WinRM (Windows Remote Management).
PowerShell-Skripte können nun einfacher im PowerShell ISE
(Integrated Scripting Environment) getestet und erstellt
werden.
Für den Netzwerkbetrieb ist es nötig, dass alle PCs
Netzwerkkarten aufweisen.
Die Konfiguration der wichtigsten Netzwerkeinstellungen ist
am einfachsten über das Netzwerk- und Freigabecenter möglich.
Die Netzwerkschnittstellen müssen seit Windows Vista einem
Netzwerkstandort zugewiesen werden. Die Auswahl des Netzwerkstandorts legt
gleichzeitig Firewallprofile fest. Die "strengste", aber auch
sicherste Einstellung ist "Öffentliches Netzwerk".
Neu in Windows 7 und Windows Server 2008 R2 ist die
Möglichkeit, gleichzeitig mehrere Firewallprofile aktiv zu haben.
Die Windows Firewall-Einstellungen werden von dem Profil
bestimmt, das Sie verwenden. In früheren Windows-Versionen kann jeweils nur ein
Firewallprofil aktiv sein. Wenn daher mehrere Netzwerkadapter mit
unterschiedlichen Netzwerktypen verbunden sind, ist trotzdem nur ein aktives
Profil verfügbar: das Profil mit den am stärksten einschränkenden Regeln. In
Windows Server 2008 R2 und Windows 7 wendet jeder Netzwerkadapter das
Firewallprofil an, das am besten für den Netzwerktyp geeignet ist, mit dem eine
Verbindung besteht: Privat, öffentlich oder Domäne. Wenn Sie also in einem Café
mit einem Drahtlos-Hotspot über VPN eine Verbindung mit dem Domänennetzwerk des
Unternehmens herstellen, bedeutet dies, das mit dem Profil Öffentlich der
Netzwerkverkehr, der nicht durch den Tunnel gesendet wird, weiter geschützt
wird, während mit dem Profil Domäne der Netzwerkverkehr geschützt wird, der den
Tunnel passiert. So wird auch das Problem von nicht mit dem Netzwerk
verbundenen Netzwerkadaptern berücksichtigt. In Windows 7 und Windows Server
2008 R2 wird diesem nicht identifizierten Netzwerk das Profil Öffentlich
zugewiesen, und die anderen Netzwerkadapter auf dem Computer verwenden weiter
das für das Netzwerk, mit dem eine Verbindung besteht, am besten geeignete
Profil.
5.1.1
Arbeitsplatznetzwerk
Der Netzwerkstandort "Arbeitsplatznetzwerk" legt
Firewallregeln fest, die für einen üblichen Büro-Arbeitsplatz sinnvoll sind.
Dieses unter Windows 7 neue Feature soll die Konfiguration
von Netzwerken im Privatbereich erheblich vereinfachen. Dabei sollen Bilder,
Musik und Geräte wie Drucker über das Netzwerk zur gemeinsamen Nutzung
freigegeben werden. Einzig die Kenntnis eines Kennwortes reicht zur Erstellung
und Teilnahme aus. Das Arbeitsgruppen-Konzept wird hier nicht benötigt. Kommen
Freunde zu Besuch, können sie sich schnell und unkompliziert ins Heimnetz
einklinken und daran teilnehmen.
Voraussetzungen:
·
Alle Rechner, die Mitglieder einer Homegroup sind, müssen mit
Windows 7 betrieben werden. Windows XP und Windows Vista können die
Heimnetzgruppe nicht erkennen bzw. ausführen.
·
IPv6 muss aktiviert sein.
Technisch wird für die Heimnetzgruppe das Protokoll IPv6
in Kombination mit der Namensauflösungstechnologie PNRP (Peer Name
Resolution Protocol) verwendet. Diese Technologien werden im Skripten
"Windows Server 2008 – Netzwerkinfrastruktur" detailliert behandelt.
5.2.1
Erstellen einer Heimnetzgruppe:
Dazu ist ein Rechner erforderlich, auf dem mindestens
Windows 7 Home Premium installiert ist. Zunächst muss als Netzwerkstandort
"Heimnetz" ausgewählt werden:
An dieser Stelle können Sie alle vier vorhandenen Standardbibliotheken
freigeben, zusätzlich ist die gemeinsame Verwendung von Druckern vorgesehen.
Sollte in der Systemsteuerung bereits eine Heimnetzgruppe
aktiv sein und man bekommt nur die Option “Heimnetzgruppeneinstellung ändern”,
kann dies folgende Ursache haben: Wurde bei einer Installation ein
Netzwerkadapter und eine aktive Netzwerkverbindung festgestellt, so teilt
Windows schon bei der ersten Anmeldung ein Kennwort für die Heimnetzgruppe mit.
5.2.2
Beitritt zu einer bestehenden Heimnetzgruppe
Um sinnvoll mit Heimnetzgruppen arbeiten zu können, müssen
Sie nun mit allen weiteren Computern der eben erstellten Heimnetzgruppe
beitreten.
Dazu wählen Sie wieder als Netzwerkstandort „Heimnetz“.
Es wird automatisch erkannt, dass im
lokalen IP-Netzwerk eine Heimnetzgruppe eingerichtet wurde.
Geben Sie im nächsten Schritt das Kennwort
für die Heimnetzgruppe an. Dieses Kennwort hat der Benutzer erhalten, der die
Heimnetzgruppe angelegt hat.
5.2.3
Arbeiten in der Heimnetzgruppe
Wenn Sie im Windows-Explorer auf das Symbol „Heimnetzgruppe“
klicken, so sehen Sie alle beigetretenen Benutzer sowie in Klammern den
Computernamen, auf dem diese Benutzer arbeiten.
Erweitert man einen User, so sieht man
dieselbe Bibliotheksstruktur wie auf dem lokalen Rechner.
Die darin vorhandenen Dateien können nun gemeinsam genutzt
werden.
5.2.4
Berechtigungen
Löschvorgänge können von anderen
Heimnetzbenutzern nur durchgeführt werden, wenn vom Urheber als Berechtigungsstufe
„Lesen/Schreiben“ vergeben wurde. Sonst erscheint folgende Fehlermeldung:
5.2.5
Medienstreaming aktivieren
Standardmäßig ist Medienstreaming deaktiviert. Sie können
unter Systemsteuerung – Netzwerk und Internet – Heimnetzgruppe das
Medienstreaming aktivieren:
Wesentlich ist dabei auch, dass die Blockierung aufgehoben
werden muss:
5.2.6
Heimnetzgruppenprobleme lösen
Beispiel 1:
In der Systemsteuerung erscheint folgende Meldung:
Mögliche Ursache für diese Fehlermeldung
ist die Umkonfiguration des Netzwerkprofils (auf „Domäne“ oder „Öffentlich“).
Mit dem Problembehandlungs-Assistenten kann dieses Problem jedoch leicht
behoben werden.
Beispiel 2:
Beim Klicken auf „Heimnetzgruppe“ kommt folgende Meldung:
Mit dem Fehlerbehandlungs-Assistenten
können häufige Probleme erkannt und behoben werden:
5.2.7
Windows-Firewalleinstellungen für Heimnetzgruppen
Eine häufige Ursache für Probleme im
Zusammenhang mit Heimnetzgruppen sind falsche Einstellungen für die
Windows-Firewall.
Hinweis: Ein
Domänen-Mitgliedscomputer kann auch gleichzeitig Mitglied einer Heimnetzgruppe
sein.
Achten Sie besonders auf die Regeln, die
das PNRP-Protokoll betreffen: So müssen die Ports TCP 3587 und UDP 3540
in beiden Richtungen freigeschaltet sein. Sie finden die vordefinierten Regeln
unter der Rubrik „Heimnetzgruppe“.
Standardmäßig erfolgt die
Benutzerverwaltung über die Systemsteuerung, Punkt „Benutzerkonten“:
Für jedes hier sichtbare Konto lassen sich
Änderungen durchführen:
Eine neue Möglichkeit untr Windows 7 steht
unter "Eigene Anmeldeinformationen verwalten" zur Verfügung. Damit
lassen sich die Anmeldeinformationen in einem "Windows-Tresor"
speichern:
Auch zertifikatbasierte
Anmeldeinformationen lassen sich solcherart speichern:
Grundsätzlich stehen zwei Arten von
Benutzerkonten zur Verfügung (diese Variante ist an Windows 7 Home angelehnt):
- Administratoren: dürfen „alles“
- Standardbenutzer: dürfen keine Programminstallationen durchführen, keine
Netzwerkeinstellungen ändern etc.
Die Option „Jugendschutz“ ermöglicht es,
für bestimmte lokale Benutzerkonten zusätzliche Einschränkungen zu
definieren:
Jugendschutz-Einstellungen sind nicht bei
Domänen- und Administratoren-Konten möglich.
Ist der PC Mitglied einer Domäne, so wird
der Systemsteuerungspunkt „Benutzerkonten“ geändert, sodass folgendes Bild
eingeblendet wird:
Die Benutzerkontosteuerung wurde mit Windows Vista
eingeführt. Sie ermöglicht eine Abwägung zwischen der Flexibilität und dem
Berechtigungsumfang eines Administratorkontos und der Sicherheit eines
Standardbenutzerkontos.
Wenn Sie eine administrative Aufgabe
ausführen möchten, wie z. B. die Installation eines neuen Programms,
fordert sind "elevated privileges" notwendig. Die UAC
"dimmt" den Bildschirm und fordert Sie zur Bestätigung auf, dass Sie
das Programm installieren möchten, bevor Sie diese administrativen Aufgaben
ausführen können. Auf diese Weise wird die Verwendung von Administratorberechtigungen
minimiert, wodurch es für bösartige Software (Malware) wie Viren, Würmer,
Spyware und andere potenziell unerwünschte Programme schwieriger wird, den PC
weitreichend zu befallen.
In Windows 7 kann das Verhalten der
Benutzerkontosteuerung fein abgestimmt werden. Öffnen Sie dazu die
Systemsteuerung und navigieren Sie in das Menü "System und
Sicherheit".
Es gibt nun vier Sicherheitsebenen:
·
Immer benachrichtigen
·
Standard – nur benachrichtigen, wenn Änderungen
an meinem Computer von Programmen (nicht vom User selbst) vorgenommen werden
·
nur benachrichtigen, wenn Änderungen an meinem
Computer von Programmen (nicht vom User selbst) vorgenommen werden sowie
Desktop nicht abblenden ("dimmen")
·
Nie benachrichtigen
Der Benutzerkontoschutz dient auch dem
Schutz der Computer von Familienmitgliedern vor Malware. Malware ist häufig in
Programmen versteckt, die für Kinder reizvoll sind. Um Ihren Computer
abzusichern, können Sie für Ihre Kinder Standardbenutzerkonten erstellen. Wenn
Ihr Kind versucht, eine Softwarekomponente zu installieren, fordert das System
die Eingabe des Kennworts eines Administratorkontos an. Dadurch können Ihre
Kinder neue Programme nicht selbständig installieren.
Technischer Hintergrund (ausführlich in MOC 5949A, Unterrichtseinheit 6, S. 6-6 bis 6-17
erläutert):
In Windows 7 werden zwei Sicherheitstoken
für ein Administratorkonto erzeugt. Die Verwendung des Administratorkontos muss
autorisiert werden.
5.4.1
Steuerung der UAC
Das Verhalten der UAC kann mit Hilfe von Gruppenrichtlinien
gesteuert werden. Diese Richtlinien können sowohl lokal als auch in der Domäne
konfiguriert werden.
5.4.2
Konfigurieren der UAC über die Registry
Über die Registry kann das
Standardverhalten der UAC für Administratoren und für Standardbenutzer
konfiguriert werden.
Im Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
befinden sich drei dafür vorgesehene
Einträge vom Typ REG_DWORD:
·
ConsentPromptBehaviorAdmin (Standardwert 5)
·
ConsetPromptBehaviorUser (Standardwert 3)
·
EnableLUA (Standardwert 1)
Die beiden ConsentPromptBehavior-Einträge
können folgende folgende Werte annehmen:
0
Keine Aufforderungen mehr seitens der Benutzerkontensteuerung - alle
Programme werden mit höheren Rechten ausgeführt
5 "Lockerste"
Einstellung
2 "Strengste"
Einstellung
Der Wert EnableLUA muss auf 0 gesetzt
werden, um die UAC auszuschalten.
Achtung:
Aus Sicherheitsgründen sollte davon abgesehen werden, die
Benutzerkontensteuerung auf dem Weg der Registry zu beeinflussen.
5.4.3
Konfigurieren der UAC über lokale Gruppenrichtlinien
Natürlich ist es auch möglich, das Verhalten der UAC über
lokale GPO-Einstellungen zu beeinflussen:
Um Ordner,
Drucker und Dateien im Netzwerk gemeinsam verwenden zu können, ist die
Einrichtung von Freigaben nötig.
5.5.1
SMB (Server Message Blocks), auch: CIFS (Common
Internet File System)
Voraussetzung für die Verwendung
freigegebener Ordner ist das SMB-Protokoll. SMB 1.0 wurde 1996 eingeführt. Es
besteht aus einer Client- und einer Serverkomponente:
- SMB-Serverdienst
(Dienstname: lanmanserver, Anzeigename: Server):
wird benötigt, um Freigaben zu erstellen
- SMB-Clientdienst (Dienstname: lanmanworkstation, Anzeigename:
Arbeitsstationsdienst) wird benötigt, um auf freigegebenen Ordner und Drucker
zugreifen zu können
In TCP/IP-Netzwerken lief SMB ursprünglich
über den NetBIOS-Port 139, und die Namensauflösung erfolgte mittels WINS. In
der Zwischenzeit wurde auch DNS als Namensauflösungsmechanismus hinzugefügt,
der aber unter SMB 1.0 nur verwendet wird, wenn NetBIOS-Namen nicht verfügbar
sind. Zurzeit läuft SMB auch als Dienst microsoft-ds über den Port TCP/UDP 445.
Seit Windows
Vista und Windows Server 2008 wird SMB 2.0 mit folgenden Verbesserungen
verwendet:
·
Im selben Paket können mehrere SMB-Befehle
übertragen werden. Das reduziert die Anzahl der SMB-Pakete.
·
SMB 2.0 ist besser skalierbar.
·
SMB 2.0 unterstützt symbolische Verknüpfungen.
Natürlich wird
die bisherige Version SMB 1.0 nach wie vor weiter unterstützt.
Freigaben
dürfen von Administratoren und Benutzern durchgeführt werden (beim Server auch
Server-Operatoren).
5.5.2
Netzwerkerkennung
In den Windows-Betriebssystemen von Windows
for Workgroups 3.11 bis Windows XP/Server 2003 gab es einen Netzwerkdienst, der
die Aufgabe hatte, Computer im Netzwerk zu erkennen. Dieser Dienst hatte den
Namen ComputerBrowser (Dienstname: Browser) und arbeitete mit
NetBIOS-Namensbroadcasts.
Obwohl der Dienst aus Gründen der
Abwärtskompatibilität auch in Windows 7 noch enthalten ist, wurde eine völlig
neues Protokoll entwickelt, das nun für diese Aufgaben zuständig ist: die Verbindungsschicht-Topologieerkennung
(engl. Link Layer Topology Discovery, LLTD;
Dienstname: lltdsvc). Der LLTD-Dienst ist zwar standardmäßig installiert, wird
aber nur bei aktivierter Netzwerkerkennung gestartet.
Um von einem Windows XP- bzw. Server
2003-PC aus Windows Vista-/Windows 7-/Windows Server 2008-PCs in der
Netzwerkübersicht sehen zu können, müssen Sie das Verbindungsschicht-Topologieerkennungs-Antwortprogramm
(LLTD Responder) für Windows XP separat downloaden und installieren (KB
922120).
Windows 7 deaktiviert im Profil
„Arbeitsplatz“ standardmäßig die Netzwerkerkennung (das Auffinden von anderen
SMB-Servern im Netzwerk) und die Dateifreigabe. Diese Einstellungen können wie
folgt geändert werden:
Für den problemlosen
Peer-to-Peer-Netzwerkbetrieb (Arbeitsgruppenbetrieb) gibt es seit Windows 7
eine Reihe von neuen Diensten:
|
Anzeigename
|
Dienstname
|
Aufgabe
|
|
Peer Name
Resolution-Protokoll
|
PNRPsvc
|
Aktiviert die
serverlose Peernamenauflösung (ohne DNS-Server) über das Internet. Falls
dieser Dienst deaktiviert ist, können einige Peer-zu-Peer- und
Zusammenarbeitsanwendungen, wie etwa „Windows-Teamarbeit“ und
Filesharing-Applikationen, eventuell nicht ausgeführt werden.
|
|
Peernetzwerk-Gruppenzuordnung
|
p2psvc
|
Dieser Dienst ist für die
Gruppenzuordnungen bei Peer-to-Peer Netzwerken unter Verwendung des
IPv6-Protokolls zuständig.Ohne diesen Dienst kann es bei der Anwendung
"Windows-Teamarbeit" zu Problemen kommen.
|
|
Peernetzwerkidentitäts-Manager
|
p2pimsvc
|
Dieser Dienst ist für
die Identifizierung von Peer-to-Peer Netzwerken unter Verwendung des
IPv6-Protokolls zuständig.Ohne diesen Dienst kann es bei der Anwendung
"Windows-Teamarbeit" zu Problemen kommen.
|
|
PNRP-Computernamenveröffentlichungs-Dienst
|
PNRPAutoReg
|
Dieser Dienst
veröffentlicht einen Computernamen mit dem Peer Name Resolution-Protokoll.
Die Konfiguration wird über den netsh-Kontext "p2p pnrp peer"
verwaltet. Dieser Dienst unterstützt zwar auch IPv4, ist aber in erster Linie
für den Einsatz unter IPv6 gedacht.
|
Netzwerk- und Freigabecenter:
In diesem Tool können die Freigabe- und
Erkennungseinstellungen generell konfiguriert werden:
Unter Windows 7 gibt es unter „Erweiterte
Freigabeeinstellungen ändern“ die Möglichkeit, eine Vielzahl von
Konfigurationseinstellungen zu treffen:
In Benutzerprofilen sind benutzerdefinierte
Desktopumgebungen definiert. Dazu gehören individuelle Einstellungen für die
Anzeige, Netzwerk- und Druckerverbindungen sowie weitere festgelegte Einstellungen.
Ihre Desktopumgebung kann vom Benutzer selbst oder vom Systemadministrator
eingerichtet werden. Technisch gesehen handelt es sich bei Benutzerprofilen um
Unterordner von C:\Benutzer (bis Windows XP „C:\Dokumente und Einstellungen“),
wobei folgende Komponenten das Profil bilden:
- Die Datei NTUSER.DAT stellt einen Teil
der Registry dar und enthält benutzerdefinierte Systemeinstellungen.
- Eine Reihe von Ordnern enthalten
benutzerdefinierte Dateien; bekannt sind etwa die Ordner „Dokumente“
oder „Desktop“.
Das Profil „Default“ stellt eine Vorlage dar, die beim erstmaligen Anmelden eines
Benutzers kopiert wird und den Ausgangsstatus für das neue Benutzerprofil
bildet.
Das Profil „All Users“ gibt es eigentlich nicht mehr; es stellt nur mehr einen System-Link
zum Verzeichnis C:\ProgramData dar. Dieses Verzeichnis enthält die
Startmenüdateien für „alle Benutzer“ in folgendem Pfad:
C:\ProgramData\Microsoft\Windows\Start
Menu\Programs
Neu sind Einträge, die keinen echten
Ordner darstellen.Sie sind mit einem Verknüpfungssymbol (kleiner schwarzer,
nach rechts oben weisender Pfeil) gekennzeichnet, zum Beispiel . Auf solche Verknüpfungen
kann in den meisten Fällen nicht direkt zugegriffen werden, da sie in
Wirklichkeit nur eine Verbindung (engl. Junction) zu einem anderen
Ordner darstellen.
Hinweis: Junctions werden nur sichtbar,
wenn in den Ordneroptionen in der Karteikarte „Ansicht“ die Einstellung
„Geschützte Systemdateien ausblenden“ deaktiviert wird.
Beispiel: Ein Klick auf den Verweis  führt zur
Meldung:
|
|
Um nun herauszufinden, auf welchen Ordner
eine Verbindung zeigt, kann der Command-Shell-Befehl dir /a verwendet
werden:
C:\Users>dir
/a
Volume
in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer:
7448-CE17
Verzeichnis
von C:\Users
26.05.2009
11:04 <DIR> .
26.05.2009
11:04 <DIR> ..
22.04.2009
10:27 <SYMLINKD> All Users [C:\ProgramData]
11.06.2009
09:16 <DIR> Christian
26.05.2009
11:04 <DIR> Default
22.04.2009
10:27 <VERBINDUNG> Default User [C:\Users\Default]
22.04.2009
10:14 174 desktop.ini
22.04.2009
13:07 <DIR> Public
1 Datei(en), 174 Bytes
7 Verzeichnis(se), 24.596.566.016 Bytes frei
Beachten Sie die
Kennzeichnung des "All Users"-Profils als System-Link!
C:\Users\Christian>dir
/a
Volume
in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer:
7448-CE17
Verzeichnis
von C:\Users\Christian
11.06.2009
09:16 <DIR> .
11.06.2009
09:16 <DIR> ..
26.05.2009
11:04 <VERBINDUNG> Anwendungsdaten [C:\Users\Christian\AppData\
Roaming]
26.05.2009
11:04 <DIR> AppData
26.05.2009
11:05 <DIR> Contacts
26.05.2009
11:04 <VERBINDUNG> Cookies
[C:\Users\Christian\AppData\Roaming\
Microsoft\Windows\Cookies]
12.06.2009
16:58 <DIR> Desktop
12.06.2009
16:55 <DIR> Documents
26.05.2009
11:49 <DIR> Downloads
26.05.2009
11:04 <VERBINDUNG> Druckumgebung [C:\Users\Christian\AppData\Ro
aming\Microsoft\Windows\Printer
Shortcuts]
26.05.2009
11:04 <VERBINDUNG> Eigene Dateien [C:\Users\Christian\Documents
]
Hier sehen Sie, dass es sich beim Ordner Cookies um eine Verbindung
(Junction) auf den tatsächlich existierenden Ordner C:\Users\Christian\AppData\Roaming\Microsoft\Windows\Cookies
handelt. In diesen Ordner können Sie im Explorer ohne Berechtigungsprobleme
hineinschauen.
Einige wichtige Elemente im Benutzerprofil:
- Ordner „Desktop“: Dieser Ordner enthält Dateien, die am Desktop gespeichert sind.
- Ordner „Documents“, „Pictures“,
„Music“, „Videos“: Dieser Ordner enthält
Dateien, die in einer der vier Standardbibliotheken gespeichert sind.
- Ordner „Download“: Dieser Ordner ist ein Standardspeicherort für aus dem Internet
heruntergeladene Dateien.
- Ordner „Favoriten“: Dieser Ordner enthält Verknüpfungen zu bevorzugten Websites,
Dateien und Verzeichnissen.
- Ordner „Appdata“: Dieser Ordner enthält verschiedene Anwendungsdaten, sortiert
nach Position und Verwendung.
|
|
o
Der Ordner „Local“ enthält lokal gespeicherte
Informationen.
o
Der Ordner „LocalLow“
o
Der Ordner „Roaming“ enthält die
servergespeicherten Anteile des Profils.
|
- Ordner „AppData\Local\Microsoft“:
In diesem Ordner sind unter anderem auch die lokalen Mail-Datenbanken
gespeichert, die alle eingegangenen und gesendeten E-Mails, alle Kontakte
und auch die Terminpläne enthalten, die in Outlook bzw. Windows Mail
(Nachfolger von Outlook Express) gespeichert sind.
Outlook 2007
– Ordner „AppData\Local\Microsoft\Outlook“: In
Outlook wird dafür (wenn kein Postfach auf einem Exchange Server konfiguriert
ist) eine einzige Datenbankdatei mit dem Namen outlook.pst verwendet. Der Pfad
zu dieser Datei lautet zum Beispiel:
C:\Users\Benutzername\AppData\Local\Microsoft\Outlook\outlook.pst
Windows Mail
– Ordner „AppData\Local\Microsoft\Windows Mail“:
Von Windows Mail wird eine komplette Ordnerstruktur erzeugt. Die Nachrichten
landen im Windows.MSMessageStore, werden aber innerhalb der einzelnen Mailordner
(etwa „Inbox“) noch einmal als *.eml (E-Mail-Datei) angezeigt.
- Ordner „AppData\Local\Temp“: enthält temporäre Dateien,
die von Anwendungsprogrammen oder Diensten während der Laufzeit erzeugt
werden (beispielsweise bei der Installation neuer Software). Er sollte
immer leer sein.
- Ordner
„AppData\Local\Microsoft\Windows\Temporary Internet Files“: stellt den Webcache des Internet Explorers dar. In ihm werden
alle besuchten Websites und dazu nötige Cookies zwischengespeichert. Auch
dieser Ordner sollte regelmäßig gelöscht werden. Das Löschen dieses
Ordners ist auch über das Menü [Extras] – [Internetoptionen], Karteikarte
„Allgemein“ möglich:
In folgenden
Dialogfeld können temporäre Dateien, die während des Surfend gespeichert
wurden, gelöscht werden:
- Ordner
„AppData\Local\Microsoft\Windows\History“
(Verlauf): Hier speichert der Internet Explorer Links zu besuchten
Websites.
- Ordner „AppData\Roaming\Microsoft\Windows\Cookies“: Unter Cookies versteht man kleine Textdateien, die beim
Anwählen bestimmter Internetsites lokal gespeichert werden und zum
Datenaustausch zwischen Client und Server dienen. In Cookies können
persönliche Vorlieben, Datum und Zeit des letzten Besuchs oder
Benutzernamen und Kennwörter gespeichert werden.
- Ordner „AppData\Roaming\Microsoft\Windows\Start
Menu“ (Startmenü): Dieser Ordner enthält
Verknüpfungen zu Programmen, die im Startmenü – zusammengefasst in Gruppen
– angezeigt werden.
- Ordner „AppData\Roaming\Microsoft\Windows\Recent“
(Zuletzt verwendete Dokumente): Dieser
Ordner enthält Verknüpfungen zu Dokumenten und Ordnern, die in der letzten
Zeit vom Benutzer verwendet wurden. Diese Verknüpfungen werden an der
entsprechenden Stelle im Startmenü angezeigt.
Typen von Benutzerprofilen:
- Lokales Benutzerprofil: Das lokale Benutzerprofil wird beim ersten Anmelden bei einem
Computer erstellt und auf der lokalen Festplatte des betreffenden
Computers gespeichert. Sämtliche Änderungen an Ihrem lokalen
Benutzerprofil sind nur für den Computer wirksam, auf dem die Änderungen
vorgenommen wurden.
- Servergespeichertes Benutzerprofil: Das servergespeicherte Benutzerprofil wird vom
Systemadministrator erstellt und auf einem Server gespeichert. Dieses
Profil steht immer zur Verfügung, wenn Sie sich an einem Computer im
Netzwerk anmelden. An Ihrem servergespeicherten Benutzerprofil
vorgenommene Änderungen werden auf dem Server aktualisiert. Voraussetzung
ist die Verwendung einer Active Directory-Domäne.
- Verbindliches Benutzerprofil: Das verbindliche Benutzerprofil ist ebenfalls ein
servergespeichertes Profil, mit dessen Hilfe bestimmte Einstellungen für
einzelne Benutzer oder einer Benutzergruppe festgelegt werden können.
Änderungen an den verbindlichen Benutzerprofilen können lediglich von den
Systemadministratoren vorgenommen werden. Verbindliche Benutzerprofile
erhält man, indem die Datei NTUSER.DAT in NTUSER.MAN (für „mandatory“)
umbenannt wird. Diese Technologie sollte heute nicht mehr verwendet
werden; sie wurde durch Gruppenrichtlinienobjekte ersetzt.
- Temporäres Benutzerprofil: Ein temporäres Profil wird in jeder Situation ausgegeben, in
der durch eine Fehlerbedingung das Laden des Benutzerprofils verhindert
wird. Temporäre Profile werden am Ende einer Sitzung gelöscht. Änderungen,
die der Benutzer an den Desktopeinstellungen und Dateien vorgenommen hat,
gehen beim Abmelden des Benutzers verloren. Hinweis: Der Benutzer „Gast“
erhält stets ein temporäres Benutzerprofil!
Kopieren von Benutzerprofilen: Benutzerprofile können dupliziert und lokal gelöscht werden; dafür
steht das Dialogfeld „Systemeigenschaften“ zur Verfügung (erreichbar über das
Kontextmenü des Arbeitsplatzes oder über Systemsteuerung – System):
|
Mit der Schaltfläche „Typ ändern“ kann
ein servergespeichertes Profil in ein lokales geändert werden (nicht
umgekehrt!).
|
|
Hier gibt es die neue Möglichkeit „Easy Connect“, die aber
erweiterte Features bei den verwendeten Routern voraussetzt.
Schalten Sie zunächst in den Systemeigenschaften die
Remoteunterstützung frei.
Für EasyConnect müssen beiden Computer
Windows 7 ausführen und PNRP unterstützen (Peer Name Resolution Protocol), die
verwendeten Router müssen IPv6-Tunneling und UPnP unterstützen. Ob Ihre Router
für EasyConnect geeignet sind, können Sie mit einem Microsoft-Tool überprüfen,
das über folgende URL erreichbar ist:
http://www.microsoft.com/windows/using/tools/igd/default.mspx
Das unter Windows Vista vorhandene Feature
"Windows Teamarbeit" wurde in Windows 7 durch Microsoft SharedView
ersetzt. Es ist damit möglich, Besprechungen einzurichten und Dokumente oder
Programme für bis zu 15 Personen freizugeben. Der wichtigste Unterschied
zwischen den beiden ist die Erweiterung der Funktionalität von dem internen Netzwerk
aufs Internet durch das Benutzen des HTTP Protokolls. Um Meetings zu erstellen
oder beizutreten, ist ein LiveID-Konto erforderlich.
SharedView muss von der Microsoft-Homepage
heruntergeladen werden.
Unterstützt werden grundsätzlich 32
bit-Betriebssysteme ab Windows Vista; obwohl es derzeit (Stand: Juni 2009) noch
keine offizielle Unterstützung von 64 bit-Plattformen gibt, existieren
Workarounds dafür.
Um eine neue Sitzung zu starten, melden Sie
sich mit Ihrer LiveID an.
Dann klicken Sie auf "Sitzung
starten":
Durch Klicken auf "Neue Sitzung
starten"
Um die Sitzung zu erstellen, klicken Sie
auf "Start".
Optionen:
Beitreten zu einer SharedView-Sitzung:
Geben Sie die in den Anweisungen enthaltene
URL im Internet Explorer ein:
Sitzungsteilnehmer können nun den gesamten
Desktop, Programme oder Daten für andere Teilnehmer freigeben:
Wenn jemand einer Sitzung beitreten möchte,
so wird das folgendermaßen angezeigt:
Im Startmenü gibt es einen neuen Menüpunkt „Geräte
und Drucker“:
Zuordnen von
Druckern zu Netzwerkstandorten: Dieses Feature ist neu unter Windows 7.
Ein neues Feature von Windows 7 ist die Möglichkeit, direkt
von einer virtuellen Festplatte (VHD) zu booten.
In Windows® 7 können virtuelle Festplatten als ausgeführtes
Betriebssystem auf designierter Hardware ohne ein anderes, übergeordnetes
Betriebssystem, einen virtuellen Computer oder Hypervisor verwendet werden.
VHD-Dateien können mit den Windows 7-Datenträgerverwaltungstools erstellt
werden, d. h. mit dem Befehlszeilentool DiskPart und dem MMC-Snap-In
(Microsoft Management Console) für die Datenträgerverwaltung. Eine Windows
7-Abbilddatei (WIM-Format) kann für die virtuelle Festplatte bereitgestellt
werden, und die VHD-Datei kann auf mehrere Systeme kopiert werden. Der Windows
7-Start-Manager kann für den systemeigenen, oder physikalischen, Start des
Windows-Abbilds auf der virtuellen Festplatte konfiguriert werden. Die
VHD-Datei kann außerdem für die Verwendung mit der Rolle für Hyper-V in Windows
Server® 2008 R2 mit einem virtuellen Computer verbunden werden. Es ist nicht
vorgesehen, dass VHD-Dateien für den systemeigenen Start die vollständige
Abbildbereitstellung auf allen Client- oder Serversystemen ersetzen. In
früheren Windows-Versionen wird das systemeigene Starten von einer virtuellen
Festplatte nicht unterstützt. Zum Starten von einer VHD-Datei sind hier ein
Hypervisor und ein virtueller Computer erforderlich.
Für die Schritte zum Bereitstellen eines Windows 7- oder
Windows Server 2008 R2-Abbilds in einer VHD-Datei sind die
Windows-Bereitstellungstools erforderlich, einschließlich imagex.exe.
Mit imagex.exe wird eine Windows-Betriebssystempartition im Windows Image-Dateiformat
(WIM) erfasst, und es wird eine WIM-Datei auf eine Dateisystempartition
angewendet, die sich in einer VHD-Datei befinden kann.
Für den systemeigenen Start von Windows 7 aus einer
VHD-Datei ist auch die Windows 7-Startumgebung erforderlich. Die Windows
7-Startumgebung wird bei der vollständigen Installation des Betriebssystems
initialisiert und umfasst den Windows-Start-Manager und
Startkonfigurationsdaten (Boot Configuration Data, BCD) sowie andere
unterstützende Dateien.
7.1.1
Erstellen einer VHD auf grafischem Weg
Eine virtuelle Festplatte (virtual hard disk, VHD) kann über
das MMC-Snap-In Computerverwaltung erfolgen.
In der Statusleiste wird der Fortschritt angezeigt:
Die erstellte VHD wird als neuer Datenträger angezeigt:
Auch dieser Datenträger muss zunächst initialisiert werden:
Dabei ist die Auswahl zwischen MBR- und GPT-Datenträger
(unterschiedliche Anzahl primärer Partitionen, anderer Aufbau der
Partitionstabelle) zu beachten.
Der virtuelle Datenträger wird dann online geschaltet. Am
blauen Datenträger-Symbol kann man erkennen, dass es sich um einen
VHD-Datenträger handelt. Nun kann der Datenträger partitioniert, formatiert,
einem Laufwerksbuchastaben zugeordnet und gegebenenfalls auch aktiv geschaltet
werden:
Das Zuordnen zu einem Laufwerksbuchstaben wird auch als Mounten
bezeichnet.
Der Datenträger kann auch wieder getrennt werden:
Es ist auch möglich, bestehende VHDs anzufügen:
7.1.2
Erstellen einer VHD mit diskpart
Auch das Kommandozeilentools diskpart unterstützt nun die
Erstellung virtueller Festplatten.
Nun kann auf das neue Laufwerk mit dem Explorer zugegriffen
werden.
Detach:
7.2.1
Backup
Windows 7 unterstützt Sie bei der
Sicherung von PC-Einstellungen, Dateien und Anwendungen zum gewünschten
Zeitpunkt und am gewünschten Speicherort und bietet eine automatische
Zeitplanung. Sie können Daten auf CD-ROM, DVD-ROM, einer externen Festplatte,
die über USB oder IEEE 1394 am PC angeschlossen ist, einer anderen
Festplatte im PC oder einem anderen mit dem Netzwerk verbundenen PC oder Server
sichern.
Ein Assistent hilft bei der Auswahl der
wiederherzustellenden Dateien und Ordner und fordert die Angabe von
Wiederherstellungsmedien an. Anschließend werden die ausgewählten Dateien
wiederhergestellt.
In der Systemsteuerung findet man das
Backup unter „System und Sicherheit“:
Bei „Auswahl durch Windows“ werden folgende
Elemente gesichert:
·
Bibliotheken: Alle Dateien, die sich in
Bibliotheken befinden, vorausgesetzt, sie sind lokal gespeichert und das
Laufwerk ist mit NTFS formatiert.
·
Desktop: Alle Dateien, die sich auf dem Desktop
befinden.
·
System-Image: Falls genug Platz auf dem
Sicherungsmedium vorhanden ist, wird ein System-Image mit dem gesamten
Betriebssystem, allen Treibern, Registry-Einstellungen und installierten
Softwareprodukten erstellt.
Bei „Auswahl durch Benutzer“ kann aus allen
Ordnern selbst eine Auswahl getroffen werden:
Aufbau des Backup-Verzeichnisses:
Klickt man doppelt auf den PC-Namen, so
erscheint folgendes Menü:
Auf diese Art ist es möglich, einige oder
alle Dateien aus der durchgeführten Sicherung wiederherzustellen.
Außerdem ist es möglich, einen Systemreparatur-Datenträger
zu erstellen:
Entweder ist Booten von DVD nötig, dann auf
„Computerreparaturoptionen“ klicken.
Auf Grund der zusätzlichen Partition kann
Windows 7 Startprobleme auch selbst erkennen und verzweigt dann automatisch in
die Starthilfe-Tools.
Es werden dann die bestehenden Windows-Installationen
gesucht:
Hier besteht über den Button
"Treiber" auch die Möglichkeit, zusätzliche Treiber aus einer anderen
Quelle zu laden. Nach der Auswahl der gewünschten Windows-Version wird ein
neues Fenster geöffnet, welches die folgenden Möglichkeiten anbietet:
- Systemstartreparatur: Automatisches Reparieren von Windows Startproblemen
(Bootsektor usw.)
- Systemwiederherstellung: Herstellen von Windows über vorhandene
Wiederherstellungspunkte (Konfiguration von Wiederherstellungspunkten
siehe nächstes Kapitel)
- Systemabbild-Wiederherstellung: Stellt das System mit Hilfe eines zuvor mit Windows Backup
erstellten Systemabbilds wieder her.
- Windows-Speicherdiagnosetool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich)
- Eingabeaufforderung (bis Windows XP/2003: „Wiederherstellungskonsole“):
Kommandozeile/Eingabeaufforderung
7.2.3
Systemwiederherstellung und Volumenschattenkopien („Volume Shadow
Copies“)
Die Systemwiederherstellung wurde unter
Windows XP eingeführt, damit Benutzer ihre Computer in einen vorherigen
Zustand zurückversetzen können, ohne persönliche Datendateien zu verlieren (wie
z. B. Microsoft Office Word-Dokumente, Grafikdateien und
E-Mail-Nachrichten). Für die Systemwiederherstellung müssen keine
Systemsnapshots erstellt werden, da das System einfach erkennbare
Wiederherstellungspunkte automatisch anlegt, mit deren Hilfe Sie Ihr System auf
einen früheren Zeitpunkt zurücksetzen können. Wiederherstellungspunkte werden
sowohl zum Zeitpunkt wichtiger Systemereignisse (z. B. bei der Installation
von Anwendungen oder Treibern) als auch in regelmäßigen Abständen (täglich)
erstellt. Sie können Wiederherstellungspunkte jederzeit erstellen und benennen.
Die Systemwiederherstellung unter
Windows XP basiert auf einem Dateifilter, der Dateiänderungen für einen
bestimmten Satz von Dateinamenerweiterungen überwacht und Dateien kopiert,
bevor diese überschrieben werden. Wenn ein Problem auftritt, können Sie die
Systemdateien und die Registrierung auf ein vorheriges Datum zurücksetzen, an
dem das System bekanntermaßen ordnungsgemäß funktioniert hat.
Unter Windows 7 ermöglicht die
Systemwiederherstellung eine Wiederherstellung nach einer größeren Vielfalt von
Änderungen als unter Windows XP. Das Dateifiltersystem für die
Systemwiederherstellung in früheren Versionen von Windows wurde durch eine neue
Methode ersetzt. Wenn nun ein Wiederherstellungspunkt erforderlich ist, wird
eine Schattenkopie einer Datei oder eines Ordners erstellt. Eine
Schattenkopie ist im Wesentlichen eine frühere Version der Datei oder des
Ordners zu einem bestimmten Zeitpunkt. Windows 7 kann Wiederherstellungspunkte
automatisch oder nach Aufforderung erstellen. Wenn das System wiederhergestellt
werden muss, werden Dateien und Einstellungen aus der Schattenkopie auf das
aktive von Windows 7 verwendete Volume kopiert. Dadurch wird die Integration
mit anderen Aspekten der Sicherung und Wiederherstellung verbessert und die
Systemwiederherstellungsfunktion noch nützlicher.
|
Aktivieren des Computerschutzes: Unter
Systemeigenschaften – Computerschutz:
|
|
Schattenkopien werden automatisch als
Teil eines Wiederherstellungspunkts in den Systemeigenschaften gespeichert.
Wenn der Computerschutz aktiviert ist, erstellt Windows automatisch
Schattenkopien von Dateien, die seit dem letzten Wiederherstellungspunkt, also
in der Regel seit einem Tag, geändert wurden. Wenn die Festplatte partitioniert
ist oder wenn mehrere Festplatten im Computer installiert sind, müssen Sie den
Computerschutz auch auf den anderen Partitionen oder Festplatten aktivieren.
Klicken Sie mit der rechten Maustaste auf
die Datei bzw. den Ordner, und klicken Sie dann auf Vorherige Versionen wiederherstellen.
Es wird eine Liste der verfügbaren
vorherigen Datei- oder Ordnerversionen angezeigt. Die Liste enthält sowohl
Sicherungs- als auch Schattenkopien, sofern beide Typen vorhanden sind.
7.3.1
Windows Troubleshooting Platform (WTP)
Die neue Windows Troubleshooting Platform verwendet
Powershell-Scripts zur Analyse und Behebung computerbezogener Probleme.
Die WTP beinhaltet drei Komponenten:
·
Troubleshooting Packs: Ein solches Paket besteht aus einer
XML-Manifest-Datei, die die ursprünglichen Ursachen eines Zustands beschreiben,
sowie aus Powershell-Scripts, die das Problem analysieren und gegebenenfalls
lösen. Windows 7 enthält etwa 24 integrierte Pakete.
·
Troubleshooting Engine
·
Troubleshooting Wizard: Mit diesem Assistenten kann der Benutzer
durch die einzelnen Schritte geführt werden, die ein Troubleshooting Pack
benötigt.
7.3.2
Problemaufzeichnung (Problem Steps Recorder)
Windows 7 enthält ein Tool mit dem Namen "Problem Steps
Recorder", mit dem Benutzer ihre Aktionen als Folge von Screenshots
aufzeichnen können.
Starten Sie das Tool, indem Sie in der Suche im Startmenü
"record" eingeben:
Der Recorder startet, mit "Aufzeichnung starten"
wird die Aufzeichnung begonnen.
Nun wiederholt der Anwender genau die Schritte, die zu
seinem Problem geführt haben, und beendet dann die Aufzeichnung.
Nach Beendigung der Aufzeichnung wird ein geziptes
MHT-Dokument erstellt (die folgende Abbildung stellt nur einen Ausschnitt aus
einem derartigen Dokument dar):
Ein neues Feature unter Windows 7
vereinfacht die Installation von Gerätetreibern. Wird ein mit Windows 7
kompatibles Gerät an den PC angeschlossen, so sehen Sie in "Device
Stage" den aktuellen Gerätestatus und die Möglichkeiten, die Sie mit
diesem Gerät haben.
Eine der größten Neuerungen im
Business-Bereich ist die Verschlüsselungstechnik rund um BitLocker. Enthalten
ist die neue Technologie in den Ultimate- und der Enterprise-Edition sowie der
kommenden Server-Version. Bitlocker verschlüsselt die Windows-Partition; dabei
ist der Schutz bereits während des Bootvorgangs aktiv.
Hinweis: Für die Verschlüsselung weiterer
Partitionen steht EFS (Encrypting File System) zur Verfügung.
BitLocker Drive Encryption wurde entworfen,
um Endbenutzern einen bestmöglichen Umgang mit Systemen zu ermöglichen, die
über einen kompatiblen TPM-Mikrochip und ein entsprechendes BIOS verfügen. Ein
TPM gilt als kompatibel, wenn es ein TPM der Version 1.2 mit allen
entsprechenden BIOS-Änderungen ist, die erforderlich sind, um die von der
Trusted Computing Group definierte BIOS-Erweiterung Static Root of Trust Measurement
zu unterstützen. Das TPM interagiert mit BitLocker Drive Encryption, um beim
Systemstart nahtlosen Schutz zu bieten.
BitLocker Drive Encryption kann auch auf
Computern ohne ein kompatibles TPM verwendet werden. In diesem Fall können Sie
mit BitLocker Drive Encryption zwar die Funktionen zur Volumeverschlüsselung
verwenden, Sie erhalten jedoch nicht die zusätzliche Sicherheit durch die frühe
Integritätsüberprüfung der Startdatei. Stattdessen wird die Identität des
Benutzers beim Starten mithilfe eines USB-Flashlaufwerks überprüft.
BitLocker verfügt über zwei TPM-Modi:
- TPM-only (Nur TPM): Dieser Modus ist für den Benutzer transparent, und die
Benutzeranmeldung erfolgt unverändert. Wenn das TPM jedoch fehlt oder
geändert wird, startet BitLocker den Wiederherstellungsmodus, und Sie
benötigen einen Wiederherstellungsschlüssel oder ein
Wiederherstellungskennwort, um wieder auf die Daten zugreifen zu können.
- Startup key (Systemstartschlüssel): Der Benutzer benötigt einen Systemstartschlüssel, um sich am
Computer anzumelden. Ein Systemstartschlüssel kann ein physischer (ein
USB-Flashlaufwerk, auf das ein computerlesbarer Schlüssel geschrieben
wurde) oder ein persönlicher (eine vom Benutzer festgelegte PIN) Schlüssel
sein.
Außerdem unterstützt BitLocker einen Modus
für Systeme ohne TPM:
- USB Flash Drive key (Schlüssel auf einem USB-Flashlaufwerk): Der Benutzer schließt
vor dem Einschalten ein USB-Flashlaufwerk an den Computer an. Der Computer
wird mit dem auf dem Flashlaufwerk gespeicherten Schlüssel entsperrt.
Gesicherte Daten:
BitLocker arbeitet mit dem TPM zusammen und schützt so die Daten zuverlässig.
(Quelle: Microsoft)
BitLocker verwendet bevorzugt Systeme, die
ein Trusted Platform Module Version 1.2 (TPM 1.2) aufweisen. Der
notwendige Chip ist aktuell nur in einzelnen Business-Systemen verbaut, soll
aber Bestandteil der kommenden Sicherheitsarchitekturen Presidio (AMD) und
LaGrande (Intel) sein.
BitLocker schützt Festplatten sogar nach
ihrem aktiven Einsatz. Wenn der Lebenszyklus einer Platte beendet ist, musste
sie bisher entweder mechanisch verschrottet oder aufwendig gelöscht werden, um
wirklich alle darauf enthaltenen Daten zu beseitigen. Nun reicht es, die
entsprechenden Schlüssel zu löschen. Selbst wenn jemand die Festplatten in
einen anderen PC einbaut, bleiben die Daten ohne die passenden Zugangsdaten
unlesbar.
Die BitLocker-Technologie setzt an zwei
Punkten an. Zum einen führt sie bei jedem Bootvorgang eine Integritätsprüfung
durch, zum anderen verschlüsselt sie die ausgewählten Festplattenpartitionen.
Zutritt verweigert: Nur wenn alle
digitalen Schlüssel passen, werden die Daten entschlüsselt. (Quelle: Microsoft)
BitLocker greift dabei auf TPM zurück, um
von dem System eine Art Fingerabdruck zu erzeugen. Solange an der eigentlichen
Hardware nichts manipuliert wird, bleibt der digitale Fingerabdruck derselbe.
Während des Bootvorgangs gleicht BitLocker die Daten ab, erst wenn die beiden
Schlüssel übereinstimmen, werden die Daten auf der Festplatte entschlüsselt.
Wahlweise kann der Administrator auch einen
PIN oder einen Hash-Key auf einem USB-Stick anfordern lassen, mit dem sich der
Nutzer zusätzlich verifizieren muss. Erst wenn alle Schlüssel als gültig
anerkannt sind, werden die Daten entschlüsselt, und der Startvorgang wird
fortgesetzt.
Die Verschlüsselung der Partitionen macht
sich ebenfalls TPM zu Nutze. Zunächst wird die angegebene Partition mit dem
Full Volume Encryption Key (FVEK) verschlüsselt; dieser nutzt einen
256-Bit-AES-Algorithmus. Anschließend wird der FVEK erneut verschlüsselt, diesmal
mit dem Volume Master Key (VMK), ebenfalls in 256 Bit AES.
Der Volume Master Key wird also als
zusätzliche Schicht zwischen dem Anwender und den verschlüsselten Daten
eingeführt. Das hat mehrere Vorteile. Der Anwender kommuniziert nie direkt mit
dem Basisschlüssel, kann diesen also nicht mitloggen oder auslesen. Wenn die
Sicherheit kompromittiert wurde, muss zudem nur der VMK neu erzeugt werden. Ein
Ent- und anschließendes Neuverschlüsseln sämtlicher Partitionen mit geändertem
Key ist daher nicht notwendig.
Schlüsselbrett: Der Volume Master Key
dient als zentraler Zugangsschlüssel. (Quelle: Microsoft)
Aus dem VMK schließlich werden alle
Schlüsselwerte für den Nutzer und die Recovery-Optionen erstellt. Löscht man
also einen kompromittierten VMK, haben alle damit erstellten Schlüssel keinen
Zugriff mehr.
8.1.1
Vorbereiten der Laufwerkskonfiguration für den Einsatz von BitLocker:
Windows BitLocker-Laufwerkverschlüsselung
ist ein Feature, das ein oder mehrere an den Computer angeschlossene Volumes
(Laufwerke) verschlüsselt und die Integrität früher Startkomponenten mit einem
TPM (Trusted Platform Module) verifizieren kann. Da BitLocker das gesamte
Datenvolume verschlüsselt, muss der Computer mit einer aktiven, vom
Betriebssystemvolume getrennten Partition konfiguriert sein, die für den Start
verwendet wird. Dies wird als Konfiguration mit aufgeteilter Last (Split-Load-Konfiguration)
bezeichnet. Benutzerdaten werden entweder auf dem Betriebssystemvolume oder
zusätzlichen Datenvolumes gespeichert, die ebenfalls mit BitLocker
verschlüsselt werden können.
Voraussetzungen für die Aktivierung der
BitLocker-Laufwerkverschlüsselung:
·
Mindestens zwei Partitionen (auch Volumes genannt). Eine Partition ist für das Betriebssystem
vorbehalten (in der Regel Laufwerk C) und wird von BitLocker verschlüsselt,
während die andere Partition die aktive Partition ist, die unverschlüsselt
bleiben muss, damit der Computer gestartet werden kann. Die Größe der aktiven
Partition muss mindestens 1,5 GB betragen.
·
Beide Partitionen müssen mit dem NTFS-Dateisystem
formatiert sein.
Ein standardmäßiges Windows 7-Setup richtet
die Partitionen bereits passend ein.
Sollten Sie von Windows Vista auf Windows 7
migrieren, so können Sie die Änderungen der Konfiguration mit dem BitLocker
Drive Preparation Tool (KB933246) durchführen, welches die nötigen
Laufwerksänderungen automatisch durchführt. Konkret werden folgende Prozesse
automatisiert:
1. Ein zweites Volume wird erstellt, wenn
noch keines vorhanden ist.
2. Die Startdateien werden auf das richtige
Volume verschoben, und es wird sichergestellt, dass das Betriebssystem
ordnungsgemäß konfiguriert ist, damit die Dateien beim Start gefunden werden.
3. Das richtige Volume wird als aktive
Partition auf dem Laufwerk für den Start konfiguriert.
Starten Sie den Computer neu, wenn das Tool
fertig ist. Das Festplattenlaufwerk des Computers wird dann ordnungsgemäß für
BitLocker konfiguriert.
8.1.2
Nutzung von BitLocker-Technologie ohne TPM-Chip:
Normalerweise ist für einen sinnvollen
Einsatz der BitLocker-Laufwerksverschlüsselung ein TPM-Chip notwendig. Mit der
MMC-Konsole tpm.msc kann der TPM-Chip initialisiert und verwaltet
werden.
Ist kein TPM-Chip verfügbar, so erscheint
in der beim Anklicken von "TPM-Verwaltung" folgende Meldung:
Es gibt jedoch eine Möglichkeit, BitLocker
auch ohne TPM-Chip zu nutzen - die Einstellung scheint bewusst versteckt und
undokumentiert zu sein und wird auch in den FAQ von Microsoft nicht erwähnt.
Öffnen Sie den Gruppenrichtlinien-Editor
(gpedit.msc im Startmenü eingeben)
Bearbeiten Sie auf Computerkonfiguration –
Administrative Vorlagen – Windows-Komponenten –BitLocker-Laufwerkverschlüsselung
– Operating System Drives die Richtlinie „Require additional authentication at
startup“.
Wählen Sie nun im oberen Fensterteil
"aktiviert" und setzen Sie darunter das Häkchen in "BitLocker
ohne kompatibles TPM zulassen" - schließen Sie alle Fenster mit ok.
8.1.3
Aktivieren von BitLocker:
Nach diesen vorbereitenden Schritten kann
BitLocker aktiviert werden. Durch Anklicken der Systemsteuerungsoption
„BitLocker-Laufwerksverschlüsselung“ erscheint folgende Darstellung:
Klicken Sie auf „BitLocker aktivieren“ und
folgen Sie den Anweisungen des Installations-Assistenten für BitLocker:
Wenn nun der Bitlocker-Assistent gestartet
wird, zeigt er die neue Option an:
Unter „TPM-Verwaltung“ sieht man einen
Überblick über den Status des TPM-Moduls.
Beispiel: Computer mit deaktiviertem TPM-Chip
In diesem Beispiel muss der TPM-Chip im
CMOS-Setup aktiviert werden.
Beispiel: Computer mit aktiviertem TPM-Chip
Üblicherweise wird man einen USB-Stick
verwenden, um den Schlüssel darauf zu speichern, aber auch USB-Festplatten oder
Speicherkarten können hier ausgewählt werden.
Diese Lösung hat den zusätzlichen Charme,
dass der USB-Stick damit quasi zum "Generalschlüssel" für den
Computer wird. Ist der Stick nicht eingesteckt, fährt der Rechner nicht hoch.
Ebenso fatal sind natürlich die Folgen,
wenn der Stick versehentlich gelöscht wird oder einen Defekt erleidet. Man
sollte die Schlüsseldaten daher doppelt und dreifach sichern, sonst kommt man
im Fall des Falles nicht mehr an seine eigenen Daten.
Speichert man das Wiederherstellungskennwort, so
entstehen Dateien wie folgende:
Der Dateiname ist
gleichzeitig die Kennwort-ID.
Aktiviert man die Bitlocker-Systemüberprüfung, so
wird vor der eigentlichen Verschlüsselung ein Neustart durchgeführt und
gleichzeitig versucht, vom USB-Stick das Wiederherstellungskennwort zu lesen.
Gibt es dabei Probleme, so wird nicht verschlüsselt und folgende Meldung
angezeigt:
Wenn alles in Ordnung war, so wird online mit der
Verschlüsselung begonnen. Ein paralleles Weiterarbeiten ist möglich, der PC
reagiert aber langsamer.
Nach dem Verschlüsselungsvorgang präsentiert sich das
Systemsteuerungsmenü „Bitlocker“ folgendermaßen:
Unter "Verwalten":
Startet man nun den PC ohne dem USB-Stick,
so kann Windows nicht gestartet werden. Stattdessen erscheint folgende Meldung:
Es bestehen nun zwei Möglichkeiten:
·
Anschließen des USB-Sticks, auf dem der
Schlüssel gespeichert wurde und ESC für nochmaligen Startvorgang
·
ENTER für Recovery-Modus: Hiefür wird das
ausgedruckte bzw. in einer Textdatei gespeicherte Kennwort benötigt.
Dieses Kennwort mit mit Hilfe der
Funktionstasten F1 – F10 eingegeben, wie am folgenden Bildschirm erläutert
wird:
Versucht man, den Datenzugriff durch eine
Reparaturinstallation (von Windows 7-DVD starten, Reparaturoptionen wählen), so
wird ebenfalls der USB-Stick verlangt:
Nachdem der Schlüssel vom USB-Stick geladen
wurde, kommt die abschließende Meldung:
8.1.4
Deaktivieren von BitLocker
BitLocker kann auf zwei Arten deaktiviert
werden: durch Anhalten von BitLocker oder durch Entschlüsseln des
Laufwerks. Wenn Sie BitLocker anhalten, ist das Laufwerk immer noch
verschlüsselt, aber der Computer verwendet zum Lesen der Informationen einen
Nur-Text-Entschlüsselungsschlüssel, der auf dem Laufwerk gespeichert ist. Wenn
Sie das Laufwerk entschlüsseln, wird der gesamte Inhalt des Laufwerks
entschlüsselt.
Durch Anhalten der
BitLocker-Laufwerkverschlüsselung wird der BitLocker-Schutz vorübergehend
entfernt, wobei das Laufwerk, auf dem Windows installiert ist (das
Betriebssystemlaufwerk), nicht entschlüsselt wird. Halten Sie BitLocker an,
wenn Sie das BIOS (Basic Input/Output System) oder die Startdateien des
Computers aktualisieren müssen. Diese Maßnahme hilft zu verhindern, dass
BitLocker das Laufwerk sperrt, und kann einen zeitaufwändigen Entschlüsselungsprozess
vermeiden. Wenn die Aktualisierung abgeschlossen ist und der Computer neu
gestartet wurde, können Sie auf Schutz fortsetzen klicken.
BitLocker kann nur auf
Betriebssystemlaufwerken angehalten werden. Wenn Sie Bitlocker auf einem eingebauten
Datenlaufwerk (z. B. einer internen Festplatte) oder einem Wechseldatenträger
(z. B. einer externen Festplatte oder einem USB-Flashlaufwerk) deaktivieren
möchten, müssen Sie das Laufwerk entschlüsseln.
Beim Entschlüsseln eines
Betriebssystemlaufwerks wird der BitLocker-Schutz vom Computer entfernt. Dieser
Vorgang kann sehr zeitaufwändig sein.
BitLocker To Go ermöglicht die Verschlüsselung externer
Medien, wie etwa USB-Sticks oder Wechselplatten.
Mit BitLocker To Go kann man auch wunderbar
lokale Partitionen und / oder externe Festplatten schützen, aber dazu an
anderer Stelle mehr. Der BitLocker unterstützt exFat, FAT 16, FAT 32 und NTFS.
Die Stärke der Verschlüsselung ist mit 128 Bit und einer AES-Verschlüsselung
als recht sicher zu bezeichnen. Über den Local Group Policy Editor kann
man die Stärke der Verschlüsselung noch auf 256 Bit erhöhen sowie eine andere
Art der Verschlüsselung wählen.
Ein durch BitLocker To Go verschlüsselter
USB-Stick kann auf jedem Windows-Rechner, an den man ihn anschließt, benutzt
werden. Nur unter Windows 7 hat man Lese- und Schreibrechte, d.h.
unter Windows XP und Windows Vista kann man die verschlüsselten Daten
nur lesen, aber nicht speichern!
Der Zugriff auf die verschlüsselten
Dateien wird durch ein Passwort oder eine Smartcard geschützt. Ein
unter Windows 7 verschlüsselter USB-Stick funktioniert wie ein verschlüsselter
Container, d.h. Dateien, die man hinein verschiebt sind geschützt und Dateien,
die man hinaus kopiert sind nicht mehr geschützt.
Aktivieren von BitLocker-to-Go:
Die Aktivierung erfolgt durch das
Kontextmenü des Wechselmediums:
Die Art des Zugriffsschutzes wählen
(Kennwort oder Smartcard)…:
Im nächsten Schritt wählt man, wie der
Wiederherstellungsschlüssel gespeichert werden soll.
Die Datei bietet keine Sicherheit vor Hackern und der
analoge Weg bietet Einbrechern die Chance Deine wertvollen verschlüsselten
Daten zu entschlüsseln. Ich habe mich für digitalen Schlüssel entschieden, weil
ich noch weite Schlüssel dieser Art habe.
Wichtig! Der Wiederherstellungsschlüssel ist zur
Wiederherstellung der Daten, wenn man das Kennwort vergessen hat. Die
BitLocker-Verschlüsselung knacken dürfte nicht leicht werden, so dass ich
empfehle den Wiederherstellungsschlüssel gut aufzubewahren!
Im nächsten Schritt wird der Stick verschlüsselt. Das
USB-Stick verschlüsseln dauert einige Zeit je nach Größe.
Im Explorer erscheint der verschlüsselte
USB-Stick mit einem Schloss-Symbol:
Über das Kontextmenü kann man den BitLocker USB-Stick
verwalten:
Die letzte Option ist kritisch zu betrachten, da bei
"automatischer Entsperrung" der Schutz nicht gegeben ist.
Ein verschlüsselter USB-Stick, der an einen Windows-Rechner
gesteckt wird, meldet sich per Autostart mit dieser Meldung:
Solange das Passwort nicht eingegeben wurde sieht man den
Stick mit einem Schloss versehen und ein Anklicken des Laufwerk führt wieder
zur Abfrage des Kennwortes.
Unter Windows XP oder Windows Vista, den sog.
Legacy-Systemen, startet man für die Nutzung des USB-Sticks das BitLocker to
Go Lesetool. Das Lesetool gewährt, wie erwähnt und wie der Name es sagt,
nur den Lesezugriff auf die Dateien und auch nur über die Oberfläche selbst und
nicht über den Explorer.
Verschlüsselung bzw. BitLocker entfernen:
Die einfachste Möglichkeit, die BitLocker-Verschlüsselung zu
entfernen ist die Neuformatierung des USB-Sticks – dadurch gehen aber alle
Daten verloren.
Der bessere Weg ist über Systemsteuerung > System und
Sicherheit > BitLocker Laufwerksverschlüsselung.
Und das Windows-Tool zum Entfernen
bösartiger Software durchsucht Ihren PC regelmäßig auf bekannte weit
verbreitete Viren. (Dieses Tool ist keine Komponente von Windows 7, sondern
kann gratis von der Microsoft-Website heruntergeladen werden.)
Seit Windows XP gibt es Gruppenrichtlinien für
Softwareeinschränkungen. Diese Richtlinien waren bisher sehr schwierig bzw.
aufwändig zu konfigurieren, da sie auf dem Hash-Wert von ausführbaren
Programmdateien beruhten.
Das AppLocker-Konzept versteht sich als einfacher zu
konfigurierende Alternative. AppLocker-Einstellungen können entweder als lokale
Richtlinie unter Windows 7 oder als Gruppenrichtlinie unter Windows Server 2008
R2 eingerichtet werden:
Der Windows XP-Mode beruht auf einer lizenzfreien Installation
von Windows XP SP3 als virtuelle Maschine innerhalb von Windows 7.
Download: http://www.microsoft.com/windows/virtual-pc/default.aspx
Zunächst wählen Sie Ihre Windows 7-Version (x86 oder x64)
und -Sprache aus und laden dann zwei Pakete herunter: Die Beta-Version von
Windows Virtual PC 7 und die Beta-Version des Windows XP-Modus. In dieser
Reihenfolgen müssen die Pakete auch installiert werden; nach der ersten
Installation ist zusätzlich ein Neustart notwendig. Achtung: Für eine
erfolgreiche Installation von Windows Virtual PC muss das PC-BIOS
Hardware-Virtualisierung unterstützen (z.B. Intel-VT, AMD-V)!
Windows Virtual PC 7 weist eine Reihe interessanter Features
auf, einschließlich:
·
Seamless-Anwendungen: Starten Sie die auf einem virtuellen
Computer installierten Anwendungen direkt vom Windows 7-Desktop, so als ob sie
auf dem Windows 7-Hostcomputer installiert wären.
·
Vereinfachte Benutzeroberfläche: Verbesserte
Benutzeroberfläche, die einfach zu verwenden ist. In Windows 7 Explorer
integriert.
·
Integrationsfeatures: Ermöglicht das Freigeben von
Zwischenablage und Laufwerken und die Umleitung von Druckern für Windows 7 und
den virtuellen Computer.
·
USB-Unterstützung: Die Benutzer können direkt aus
virtuellen Computern auf an den Hostcomputer angeschlossene USB-Geräte
zugreifen. Diese Geräte schließen Drucker und Scanner, Flashmemory/Memory
Sticks und externe Festplattenlaufwerke, Digitalkameras und weitere ein.
Beim erstmaligen Start des Windows XP-Modus wird die
virtuelle XP-Maschine konfiguriert. Zunächst müssen Sie dem Lizenzvertrag
zustimmen, danach können Sie das Paßwort für den Benutzer ‘User’ in der
XP-Installation festlegen:
Nun kommt noch die Abfrage zur Aktivierung von automatischen
Updates, und das war’s dann auch schon. Wohlgemerkt: das sind alles
Einstellungen für die virtuelle XP-Maschine, nicht für den Windows 7-Host!
Jetzt wird Virtual XP gestartet, was beim ersten Mal ein
paar Minuten dauert, da im Hintergrund noch die XP Konfiguration fertiggestellt
werden muß:
Danach hat man zunächst mal ein virtualisiertes Windows XP,
wie man es z.B. von Virtual PC her gewohnt ist:
Dass man in diesem Fenster die Warnung bezüglich der nicht
installierten Antivirus-Applikation sieht, weist nochmal darauf hin, dass hier
wirklich ein zusätzliches Betriebssystem läuft. Firewall und
Antivirus-Applikation des Windows 7-Host sind für das virtualisierte Windows XP
nicht wirksam!
Einstellungen für die Virtuelle Maschine kann man im Menü
unter ‘Extras’ - ‘Einstellungen’ vornehmen. Auch dieser Dialog ist aus Virtual
PC bekannt. Unter ‘Netzwerk’ kann man hier auch eine der Host-NICs auswählen
und so auf ein externes Netzwerk zugreifen. Die Einstellungen sind übrigens
auch direkt im Ordner ‘Virtuelle Computer’ (im Benutzer-Profil) verfügbar, und
zwar mit einem Rechts-Klick auf die entsprechende Virtuelle Maschine.
Besonders interessant dürfte für viele der Menüpunkt ‘USB’
sein. Die dort aufgeführten Geräte sind innerhalb der Virtuellen Maschine
verfügbar, sobald man auf ‘Anfügen’ klickt. Es können z.B. Webcams,
USB-Laufwerke, MP3-Player, Drucker, Smartphones und PDAs umgeleitet werden.
Drucken können Sie natürlich auch auf einen Netzwerk-Drucker.
Applikationen, die man im Virtual Windows XP-Modus benutzen
möchte, installiert man innerhalb der Virtuellen Maschine. Die startet man z.B.
direkt aus dem Start-Menü – ‘Windows Virtual PC’ - #Virtual Windows XP’. Hat
man bei der Erst-Konfiguration das Speicher des Passworts angegeben, wird die
Anmeldung in der Virtuellen Maschine automatisch durchgeführt.
Jetzt installiert man entweder vom Netzwerk, von einer
ISO-Datei oder vom Host-CD/DVD-Laufwerk (letztere kann man in den Einstellungen
der Virtuellen Maschine im Punkt ‘DVD-Laufwerk’ verbinden). Die Applikationen
tauchen dann automatisch im Start-Menü des Windows 7-Host auf (Start-Menü –
‘Windows Virtual PC’ – Virtual Windows XP-Anwendungen’).
Vorinstalliert ist hier als Beispielanwendung der ‘Windows
Katalog’. Startet man die Applikation, so erscheint auf dem Windows 7-Desktop
ein Internet Explorer 6-Fenster mit der entsprechenden Seite. Von der im
Hintergrund laufenden Virtuellen Maschine ist für den Benutzer dann nichts mehr
zu sehen:
Weitere Applikationen werden im Startmenü
der Windows 7-Hostmaschine im Menü „Virtual Windows XP-Anwendungen“ angezeigt.
Verwaltet werden die virtuellen Maschinen im Windows
Explorer:
Quelle: Dieser Abschnitt basiert auf einem Blog-Eintrag von
Ralf M. Schnell unter http://blogs.technet.com/sieben/.
|
Für größere Umgebungen eignet sich der XP Mode nicht – die
Verwaltung wäre viel zu aufwändig. Für diesen Zweck gibt es im Microsoft
Desktop Optimization Pack das Paket Microsoft Enterprise Desktop
Virtualization (MED-V). MED-V bietet eine Management Console für den
Client-VPC, um die Images zentral verwalten, warten und kontrollieren zu
können.
|
|
Neue
Domänenfunktionsebene:
·
Windows Server 2008 R2: nur Windows Server 2008
R2 DCs
Verfügbare
Funktionalität ab Domänenfunktionsebene „Windows Server 2008 R2“:
Die auf der
Domänenfunktionsebene von Windows Server 2008 R2 verfügbaren Features umfassen
neben den auf der Domänenfunktionsebene von Windows Server 2008 verfügbaren
Features zusätzlich folgendes Feature:
·
Authentifizierungszusicherung, mit der anhand
des Kerberos-Tokens eines Benutzers bestimmt werden kann, welche Anmeldemethode
von diesem Benutzer verwendet wurde.
Neue
Gesamtstrukturfunktionsebene:
·
Windows Server 2008 R2
Verfügbare
Features ab Gesamtstruktur-Funktionsebene „Windows Server 2008 R2“:
·
Papierkorb: Bietet (sofern aktiviert) die Möglichkeit zum
Wiederherstellen gelöschter Objektein ihrer Gesamtheit, während die Active
Directory-Domänendienste ausgeführt werden.
Alle in der Gesamtstruktur erstellten neuen Domänen werden
standardmäßig auf der Domänenfunktionsebene von Windows Server 2008 R2
ausgeführt.
Neu ab Windows Server 2008 R2. Dieses Modul
stellt eine Kommandozeilenschnittstelle dar, mit der Administratoren alle ADDS-
und ADLDS-Instanzen verwalten und überwachen können. Dieses Feature besteht aus
einer Reihe von PowerShell-CmdLets und einem AD-Provider, mit dem durch das AD
in hierarchischer Art und Weise (ähnlich wie das NTFS-Dateisystem) navigiert werden
kann.
Es ist möglich, sich mit allen vorhandenen
ADDS- und ADLDS-Instanzen sowie zu AD-Snapshots zu verbinden.
Mit diesen Powershell-Cmdlets ist es auch
möglich, Gruppenrichtlinien zu verwalten.
Dieses Tool ist neu in Windows Server 2008 R2 und basiert
auf PowerShell 2.0.
Mit diesem Tool können auf Basis
einer grafischen Oberfläche Routineaufgaben vereinfacht ausgeführt werden.
Mit entsprechender Vorbereitung ist es möglich,
Arbeitsstationen ohne Verbindung zum firmeninternen Netzwerk an die Domäne
anzubinden.
Führen Sie auf dem DC zunächst folgende Anweisung aus:
DJOIN /Provision
/Domain domain_name /Machine pc23 /SaveFile pc23.Djoin
Damit wird ein Computerkonto in AD
erstellt, außerdem wird eine verschlüsselte "Beitrittsdatei" erzeugt,
mit deren Hilfe der Domänenbeitritt erledigt werden kann. Kopieren Sie diese
Datei auf einen USB-Stick und führen Sie auf der Offline-Windows-Maschine
folgende Anweisung aus:
DJOIN /Requestodj
/LoadFile pc23.DJoin /WindowsPath \Mount\Windows
Damit wird pc23 zur Domäne hinzugefügt.
10.6
Reanimierung von gelöschten ADDS-Objekten mit dem Papierkorb
10.6.1 Active Directory
Recycle Bin
Wenn Sie die Domäne in der Domänenfunktionsebene
Windows Server 2008 R2 betreiben, so steht Ihnen für die Reanimierung von
Objekten der erweiterte "Recycle Bin" (Papierkorb) zur
Verfügung. Dieses Feature ist standardmäßig deaktiviert; es muss über die
AD-Powershell wie folgt aktiviert werden:
Enable-ADOptionalFeature
'Recycle Bin Feature' -Scope ForestOrConfigurationSet
-Target 'fabrikam.com' –server dc01
Grob
zusammengefasst, wird bei aktiviertem Papierkorb die Erstellung von Tombstones
geändert: Es werden alle Attribute (Linked-Value und
Nicht-Linked-Value-Attribute) im Tombstone beibehalten und können dadurch auch
wiederhergestellt werden. Der Wiederherstellungsvorgang selbst ändert sich
dadurch aber nicht.
10.6.2 Reanimierung über
PowerShell
Auf einem Windows Server 2008 R2-DC im
Gesamtstruktur-Funktionsebene „Windows Server 2008 R2“ kann der AD Recycle Bin
aktiviert werden. Im Falle des aktivierten „Papierkorbs“ kann mit dem AD-Modul
für Powershell wie folgt ein versehentlich gelöschtes Benutzerobjekt „Mary“
wiederhergestellt werden:
Get-ADObject
-Filter {displayName -eq "Mary"} -IncludeDeletedObjects |
Restore-ADObject
Hiermit wird eine VPN-Verbindung
automatisch wieder hergestellt, sobald die Internetverbindung wieder verfügbar
ist. So müssen die Benutzer nicht erneut ihre Anmeldeinformationen eingeben und
die VPN-Verbindung wieder herstellen.
Bei der VPN-Verbindungswiederherstellung
handelt es sich um ein neues Feature der Routing- und RAS-Dienste, das eine
nahtlose und einheitliche VPN-Verbindung für die Benutzer bereitstellt und eine
VPN-Verbindung automatisch wieder herstellt, wenn die Internetverbindung eines
Benutzers vorübergehend getrennt wird. Für Benutzer, die eine Verbindung über
drahtloses mobiles Breitband herstellen, stellt diese Funktion den größten
Vorteil dar. Mit der VPN-Verbindungswiederherstellung stellt Windows 7 aktive
VPN-Verbindungen automatisch wieder her, wenn die Internetverbindung
wiederhergestellt wird. Auch wenn das erneute Herstellen der Verbindung einige
Sekunden dauern kann, ist dies transparent für die Benutzer.
Bei der VPN-Verbindungswiederherstellung
wird der IPsec-Tunnelmodus mit Internetschlüsselaustausch Version 2 (Internet
Key Exchange 2, IKEv2) verwendet (in RFC 4306 beschrieben) verwendet. Dabei
wird insbesondere das in RFC 4555 beschriebene IKEv2-MOBIKE (Mobility and
Multihoming Extension) verwendet.
Die VPN-Verbindungswiederherstellung wird
im RRAS-Rollendienst der NPAS-Rolle (Network Policy and Access Services,
Netzwerkrichtlinien- und Zugriffsdienste) eines Computers unter Windows Server
2008 R2 implementiert. Die Überlegungen zur Infrastruktur entsprechen den
Überlegungen für NPAS und RRAS. Auf den Clientcomputern muss Windows 7
ausgeführt werden, damit die VPN-Verbindungswiederherstellung optimal genutzt
werden kann.
Firewall-Ausnahmeregeln (müssen sowohl am
VPN-Server als auch am VPN-Client erstellt werden):
·
UDP ports 500 and 4500 (IKE)
·
IP Protocol ID 50 (Encapsulating Security
Protocol ,ESP)
Die benötigten Regeln werden bei der
Installation von Routing und Remote Access auf dem Server automatisch erstellt.
Auf Clients ist nach außen gehender Datenverkehr, der vom Client selbst
initiiert wird, automatisch erlaubt. Standardmäßig sollte die Firewall also
alle benötigten Protokolle durchlassen.
Die Reconnection-Fähigkeit wird aktiviert,
wenn man in den Eigenschaften der Client-VPN-Verbindung als VPN-Typ IKEv2 wählt.
DirectAccess ist eine Technologie, mit der
es möglich ist, als berechtigter DirectAccess-Benutzer von einem Remote-PC ohne
VPN auf ein Firmennetzwerk zuzugreifen. Dabei wird eine bidirektionale
Verbindung aufgebaut, über die auch Software-Updates und Gruppenrichtlinien
bezogen werden können.
DirectAccess soll eine Alternative zu VPN
darstellen, da VPN-Verbindungen folgende Nachteile aufweisen:
·
Aufbau einer VPN-Verbindung benötigt mehrere
Schritte
·
Bei Organisationen, die den Client überprüfen,
bevor eine VPN-Verbindung zugelassen wird, kann der VPN-Aufbau mehrere Minuten
dauern.
·
Immer, wenn die Internet-Verbindung auf der Client-Seite
abbricht, muss die VPN-Verbindung wiederhergestellt werden.
·
Internet-Performance leidet unter
VPN-Datenverkehr
Voraussetzungen:
·
Domänencontroller
mit Windows Server 2008; wenn Zwei-Faktor-Authentifizierung verwendet werden
soll (SmartCard-Unterstützung), Windows Server 2008 R2
·
DirectAccess Server mit Windows Server 2008 R2, zwei Netzwerkkarten (eine mit
Verbindung zum Corporate Network, eine zweite mit Verbindung ins Internet);
dieser Server sollte Domänenmitglied sein
·
PKI
·
IPv6 auf allen
Computern aktiviert
·
Client-Computer
mit Windows 7 Enterprise oder Ultimate Edition, muss Domänenmitglied sein!
Die Authentifizierung in DirectAccess
beruht auf IPSec. DirectAccess verwendet für die Authentifizierung zwischen
DA-Client und DA-Server den IPSec-Transportmodus und den Tunnelmodus.
Wenn ein Remote-DA-Client Daten zum
Firmennetzwerk sendet, so wird der Datenverkehr in einem verschlüsselten
IPSec-Tunnel verkapselt:
End-to-Edge-Zugriffsmodell: Die Clients stellen eine IPSec-Sitzung zu einem IPSec-Gateway-Server
her (kann derselbe Server wie der DirectAccess-Server sein); der Tunnel endet
beim IPSec-Gateway. Der IPSec-Server leitet dann unverschlüsselten IP-Verkehr
an die Firmenserver weiter. Diese Architektur benötigt kein IPSec im Intranet
und funktioniert mit allen Anwendungsservern, die IPv6 unterstützen.
End-to-End-Zugriffsmodell: Die Clients stellen IPSec-Sitzungen her, die bei den internen
Anwendungsservern enden. Diese Architektur stellt die höchstmögliche Sicherheit
zur Verfügung, setzt aber Anwendungsserver voraus, die sowohl IPv6 als auch
IPSec unterstützen.
|
Client-IP-Konfiguration
|
Verbindungsmethode
|
|
Global routbare IPv6-Adresse
|
Global routbare IPv6-Adresse
|
|
Public IPv4-Adresse
|
6to4
|
|
Private (NAT) IPv4-Adresse
|
Teredo
|
|
Wenn der Client sich nicht mit einer der vorher genannten Methoden
verbinden kann
|
IP-HTTPS
|
Teredo, 6to4 und das Intra Site Automatic Tunnel Addressing
Protocol (ISATAP) sind Beispiele für Übergangstechnologien von IPv4 und
IPv6. Diese Technologien erlauben es Ihnen, IPv6 zu nutzen, bevor die gesamte
Netzwerkinfrastruktur IPv6 unterstützt. IP-HTTPS ist ein neues Protokoll
für Windows 7, das Hosts hinter einem Proxy oder einer Firewall erlaubt, eine
Verbindung über einen IP-Tunnel innerhalb eines HTTPS-Tunnels aufzubauen. HTTPS
wird statt HTTP verwendet, damit Proxy-Server nicht versuchen, in die Pakete
des Datenstroms hineinzuschauen und die Verbindung zu beenden, wenn der
Datenverkehr "abnormal" aussieht. HTTPS stellt dabei aber keinen
Sicherheitsmechanismus bereits; Sicherheit wird einzig und allein durch IPSec
bereitgestellt.
Namensauflösung: DirectAccess unterstützt DNSSEC, falls der DNS-Serverdienst auf
Windows Server 2008 R2 installiert ist.
Die NRPT (Name Resolution Policy Table)
speichert eine Liste von Namespaces und Konfigurationseinstellungen, die das
Verhalten des DNS-Clients in Bezug auf diesen Namespace festlegen.
Namensauflösungsanfragen werden mit den
Namespaces verglichen, die in der NRPT gespeichert sind, und entsprechend der
Konfiguration verarbeitet.
So wird in DirectAccess festgelegt, ob eine
Anfrage verschlüsselt wird oder nicht und zu welchem DNS-Server sie gesendet
werden.
Wenn eine Anfrage nicht mit einem in der
NPRT gespeicherten Namespace übereinstimmt, dann wird sie unverschlüsselt zu
dem DNS-Server gesendet, der in den TCP/IP-Einstellungen festgelegt ist
(Standardverhalten). Im Fall eines Remote-Clients wird das häufig der
DNS-Server des Internet Service Providers sein.
Wenn für den Aufruf einer Intranet-Seite
ein einteiliger Name wie zum Beispiel http://intranet abgefragt wird, so wird
der Client alle jene DNS-Suffixe anhängen, die er konfiguriert hat, bevor er in
der NRPT-Tabelle nachschaut. Sollten keine DNS-Suffixe konfiguriert sein bzw.
der eingegebene Name keinem anderen in der NPRT gespeicherten Hostnamen
entsprechen, so wird die Anfrage wieder an den in der TCP/IP-Einstellungen
angegebenen DNS-Server weitergeleitet.
Die NPRT-Tabelle wird folgendermaßen
befüllt:
·
Angabe des Namensraums
(beispielsweise.corp.contoso.com)
·
Name oder IP-Adresse des/der DNS-Server(s),
der/die Anfragen für diesen Namensraum beantworten soll(en)
Bei Angabe einer IP-Adresse für den
DNS-Server werden alle DNS-Anfragen über den verschlüsselten IPSec-Tunnel
direkt zu diesem DNS-Server gesendet. Für diese Konfiguriation sind keine
weiteren Sicherheitsmaßnahmen erforderlich.
Wenn allerdings in der NPRT ein FQDN für
den DNS-Server eingegeben wird (etwa dns.contoso.com), dann muss dieser Name
öffentlich (im Internet) auflösbar sein, wenn der Client seinen in den
TCP/IP-Einstellungen konfigurierten DNS-Server abfragt. Es könnte in diesem
Fall ein Angreifer versuchen, diese externe Namensabfrage zu "kapern"
und eine gefälschte DNS-Antwort zurückschicken. Daher ist für dieses Szenarion
IPSec-Verschlüsselung zu empfehlen.
Firewallkonfiguration:
|
Ort
|
Port bzw. Protokollnummer
|
Richtung und Ziel
|
|
Äußerer Firewall
|
IPv6
|
eingehend und ausgehend
|
|
Äußerer Firewall
|
IP Protocol 50 (ESP)
|
eingehend und ausgehend
|
|
Äußerer Firewall
|
UDP 3544 (Teredo)
|
eingehend
|
|
Äußerer Firewall
|
IP Protocol 41
|
eingehend und ausgehend
|
|
Äußerer Firewall
|
TCP 443 (SSL)
|
eingehend
|
|
Innerer Firewall
|
UDP 500 (AuthIP)
|
eingehend und ausgehend
|
|
Innerer Firewall
|
IP Protocol 50 (ESP)
|
eingehend und ausgehend
|
DirectAccess-Clients verwenden den
folgenden Prozess, um eine Verbindung zu Intranetressourcen herzustellen:
1.
Der DirectAccess-Windows 7-Clientcomputer
stellt fest, dass eine Verbindung zu einem Netzwerk hergestellt ist.
2.
Der DirectAccess-Clientcomputer versucht, eine
Verbindung zu einer vom Administrator während der DirectAccess-Konfiguration
festgelegten Intranet-Website herzustellen. Wenn die Website erreichbar ist,
dann stellt der DirectAccess-Client fest, dass er bereits mit dem Intranet
verbunden ist, und der Verbindungsvorgang wird beendet. Ist diese Website nicht
erreichbar, dann stellt der DirectAccess-Client fest, dass er mit dem Internet
verbunden ist – in diesem Fall wird der Verbindungsvorgang fortgesetzt.
3.
Der DirectAccess-Clientcomputer stellt eine
Verbindung zum DirectAccess-Server mit IPv6 und Ipsec her. Sollte ein natives
IPv6-Netzwerk nicht zur Verfügung stehen (was derzeit sehr wahrscheinlich ist,
wenn der Benutzer mit dem Internet verbunden ist!), dann versucht der Client
den Verbindungsaufbau mit einem IPv6-over-IPv4-Tunnel unter Verwendung der
Protokolle 6to4 oder Teredo. Der Benutzer muss sich nicht angemeldet haben,
damit dieser Schritt beendet werden kann.
4.
Sollte eine Firewall oder ein Proxyserver
verhindern, dass ein Client eine 6to4 oder Teredo-Verbindung zum DirectAccess-Server
aufbaut, so versucht der Client automatisch, eine Verbinduing mit dem
IP-HTTPS-Protokoll aufzubauen. IP-HTTPS verwendet eine Secure Sockets Layer
(SSL)-Verbindung.
5.
Als Teil des IPSec-Verbindungsaufbaus erfolgt
zwischen DirectAccess-Client und –Server eine gegenseitige Authentifizierung
durch Computerzertifikate.
6.
Schließlich wird durch Überprüfung der
Zugehörigkeit zu den Active Directory-Gruppen festgestellt, ob Computer und
Benutzer autorisiert sind, über DirectAccess eine Verbindung aufzubauen.
Hinweis: Um das Risiko einer Denial of
Service (DoS) Attacke zu minimieren, IPsec on the DirectAccess server
de-prioritizes key negotiation traffic using Differentiated Services Code
Points (DSCPs).
7.
Wenn Network Access Protection (NAP) aktiviert
ist und auch die Integritätsüberprüfung konfiguriert ist, dann bezieht der
DirectAccess-Client ein Integritätszertifikat (engl. health certificate) von
der Health Registration Authority (HRA) im Intranet, bevor eine Verbindung zum
DirectAccess-Server hergestellt wird. Die HRA sendet den Integritätsstatus des
DirectAccess-Clients weiter zum NAP-Richtlinienserver. Die
NAP-Integritätskontrolle verarbeitet die im Network Policy Server (NPS)-Server
definierten Richtlinien und stellt fest, ob der Client "compliant"
mit den Regeln der Integritätsrichtlinie ist. Wenn das der Fall ist, dann
bezieht die HRA ein Integritätszertifikat für den DirectAccess-Client. Wenn
sich dann der DirectAccess-Client zum DirectAccess-Server verbindet, so sendet
er ihm sein Integritätszertifkat für die Authentifizierung.
8.
Der DirectAccess-Server beginnt, den
Datenverkehr vom DirectAccess-Client zu den Intranet-Ressourcen weiterzuleiten,
für die der Benutzer Zugriffsberechtigungen hat.
Standardmäßig implementiert DirectAccess
eine Richtlinie, die zwei verschlüsselte IPSec-Tunnel aufbaut:
1. Der erste Tunnel verwendet IPsec/ESP mit
einem Client-Computerzertifikat für die Authentifizierung des Computers. Dieser
Tunnel stellt eine sicheren Verbindungskanal zwischen einem DA-Client und den
Ressourcen des Unternehmens her, bevor sich der User am DA-Clientcomputer
anmeldet. Das ist unbedingte Voraussetzung dafür, dass sich der Benutzer an den
Domänencontrollern des Unternehmens anmelden kann.
2. Der zweite Tunnel verwendet IPsec/ESP
mit einem Client-Computerzertifikat und Kerberos-Benutzeranmeldeinformationen.
Dieser zweite Tunnel wird benötigt, um Zugriff auf alle anderen
Unternehmensressourcen zu erhalten, wenn der Benutzer bereits an der Domäne
angemeldet ist.
Für den reibungslosen Betrieb sind etliche
vorbereitende Maßnahmen nötig:
·
Stellen Sie den reibungslosen Betrieb der PKI
sicher; alle Computer müssen automatisch Computerzertifikate beziehen, auch die
CRL muss korrekt veröffentlicht worden sein.
·
Legen Sie im Active Directory eine
Sicherheitsgruppe DirectAccessComputers an. Alle Computer, die
DirectAccess nutzen sollen, müssen Mitglied dieser Sicherheitsgruppe werden.
·
Entfernen Sie ISATAP aus der standardmäßigen
globalen DNS-Sperrliste:
dnscmd /config
/globalqueryblocklist wpad
·
Treten Sie mit dem DirectAccess-Clientcomputer
der Domäne bei.
·
Fügen Sie das Computerkonto des
DirectAccess-Clientcomputers zur Sicherheitsgruppe DirectAccessComputers
hinzu.
Bereiten Sie den DirectAccess-Server wie
folgt vor:
·
Konfigurieren Sie die beiden Netzwerkkarten mit
statischen IP-Adressen. Achten Sie darauf, dass IPv6 unterstützt wird.
·
Konfigurieren Sie die öffentliche Netzwerkkarte
mit zwei aufeinanderfolgenden öffentlichen statischen IP-Adressen.
·
Treten Sie der Firmendomäne bei.
·
Firewall-Regelsätze: bei der externen
Netzwerkkarte "Öffentlich", bei der internen Netzwerkkarte
"Domäne".
·
Installieren Sie die Webserver-Rolle.
Fügen Sie über den Server-Manager das
Feature "DirectAccess Verwaltungskonsole" hinzu.
Das Feature „Gruppenrichtlinienverwaltung“
ist Voraussetzung für die DirectAccess-Verwaltungskonsole und wird
gegebenenfalls nachinstalliert.
Im Verwaltungsmenü wird das Snap-In
DirectAccess hinzugefügt.
Folgen Sie dem Setup-Assistenten und legen
die die Sicherheitsgruppe der DirectAccess-Clientcomputer, die verwendeten
IPv6-Technologien sowie das SSL-Zertifikat, das der Client bei IP-HTTPS
verwenden soll, fest.
Beachten Sie, dass die interne
Netzwerkschnittstelle mit einem verbindungsspezifischen DNS-Suffix konfiguriert
sein muss.
Führen Sie folgenden Befehl auf dem
Domänencontroller, Webserver und allen DirectAccess-Clients aus, damit sie sich
selbst als ISATAP-Host konfigurieren:
sc control
iphlpsvc paramchange
Testen Sie die Konnektivität zu einer
Intranet-Seite und zu einem freigegebenen Ordner im firmeninternen Netz.
Wenn BranchCache aktiviert ist, so wird
eine Kopie allen Daten, die von Intranet-Webservern und Fileservern in eine
Zweigstelle heruntergeladen werden, in der Zweigstelle lokal gecacht. Wenn ein
zweiter Client im selben Zweigstellennetz dieselbe Datei herunterladen möchte,
so wird sie vom lokalen Cache und nicht übers WAN geladen.
BranchCache speichert nur Leseanforderungen
zwischen, er greift nicht in Speichervorgänge eines Benutzers ein.
BranchCache kann in zwei Betriebsmodi
arbeiten:
·
Distributed Cache: Verwendet eine Peer-to-Peer-Architektur. Hier wird der gecachte
Inhalt auf einem Windows 7-Clientcomputer in der Zweigstelle
zwischengespeichert. Ein Windows Server 2008 R2-Server ist nur in der Zentrale
nötig.
·
Hosted Cache:
Hier wird der Inhalt auf einem Windows Server 2008 R2-Server (Core oder
Vollinstallation möglich) in der Zweigstelle zwischengespeichert.
Zunächst muss auf dem betroffenen Web- oder
BITS-Server das Feature BranchCache installiert werden.
Um auf einem Client BranchCache zu
aktivieren, sind folgende Arbeitsschritte durchzuführen:
·
BranchCache einschalten
·
Cache-Modus wählen: Distributed Cache oder
Hosted Cache
·
Hostname des Hosted-Cache-Servers festlegen
·
Client-Cache-Größe als Prozentanteil der
Festplattengröße oder Bytes angeben
·
Cache-Speicherort auf der Festplatte festlegen
·
Firewall-Ausnahmeregeln konfigurieren
•
Inhaltserkennung: UDP 3702 (WS-Discovery
protocol)
•
Inhaltsdownload: TCP 80 (HTTP protocol)
Um BranchCache auf Client-Computern zu
aktivieren, sind einige Gruppenrichtlinien einzurichten.
Im Gruppenrichtlinieneditor finden Sie die
folgenden BranchCache-Richtlinien unter Administrative Vorlagen – Netzwerk –
BranchCache:
|
Richtlinie
|
Funktion
|
|
Turn on BranchCache
|
Legt fest, ob BranchCache eingeschaltet
werden soll. Verwenden Sie diese Richtlinie in Zweigstellen mit geringer
Bandbreite und hoher Latenz zur Zentrale. Es ist nicht nötig, diese
Richtlinie in gut angebundenen Zweigstellen zu setzen.
Aktiviert: BranchCache ist eingeschaltet
Deaktiviert oder nicht konfiguriert:
BranchCache ist ausgeschaltet.
|
|
Turn on BranchCache – Distributed Caching
mode
|
Legt fest, ob der BranchCache Distributed
Cache-Modus aktiviert werden soll. Verwenden Sie diese Richtlinie in
Zweigstellen mit geringer Bandbreite und hoher Latenz zur Zentrale. Es ist
nicht nötig, diese Richtlinie in gut angebundenen Zweigstellen zu setzen.
Aktiviert: Distributed Cache-Modus ist
eingeschaltet
Deaktiviert oder nicht konfiguriert:
Distributed Cache-Modus ist ausgeschaltet.
|
|
Turn on BranchCache – Hosted Caching mode
|
Hier wird der Name des Hosted
Cache-Servers festgelegt. Diese Einstellung muss getroffen werden, wenn ein
Hosted Cache in der Zweigstelle eingerichtet wird. Wichtig: Der hier
eingetragene Servername muss mit dem im SSL-Zertifikat verwendeten Namen
exakt übereinstimmen. Es wird empfohlen, den FQDN des Servers zu
verwenden.Clients verwenden SSL, um mit dem Hosted Cache zu kommunizieren.
Beachten Sie, dass das Computerkonto des Clients-PCs dem Zertifikat der
Stammzertifizierungsstelle vertrauen muss.
Aktiviert: Manuelle Eingabe des Hosted
Cache-Servers nötig.
Deaktiviert oder nicht konfiguriert:
Hosted Cache wird in der Zweigstelle nicht verwendet.
|
|
Set percentage of disk space used for
client computer cache
|
Hier können Sie den Prozentanteil des
gesamten verfügbaren Festplattenspeicherplatzes festlegen, der für
BranchCache verwendet werden soll.
Aktiviert: Manuelle Eingabe des
Prozentsatzes erforderlich.
Deaktiviert oder nicht konfiguriert: In
diesem Fall wird der Prozentsatz auf 5 % des gesamten
Festplattenspeicherplatzes am Clientcomputer festgelegt.
|
|
BranchCache for network files
|
Legt fest, ob BranchCache auch SMB-Dateien
bzw. SMB-Downloads cachen soll.
Aktiviert: Hier können Sie die minimale
Latenz festlegen, unterhalb derer BranchCache nicht für SMB-Verkehr verwendet
werden soll.
Deaktiviert oder nicht konfiguriert:
BranchCache optimiert SMB-Verkehr nicht.
|
Windows 7 stellt Plug & Play-Zugriff und eine
einheitliche Benutzeroberfläche für mobile Breitbandverbindungen bereit,
unabhängig davon, ob der Benutzer die Verbindung über eine integrierte oder
externe Datenkarte für drahtloses Breitband herstellt. Mit dem mobilen
Breitband wird in Windows 7 keine zusätzliche Software mehr benötigt, um eine
Verbindung mit mobilen Breitbandnetzwerken herzustellen.
In Windows 7 und Windows Server 2008 R2 können
IT-Administratoren mit Gruppenrichtlinieneinstellungen Webdatenverkehr auf
Grundlage der URL priorisieren. Mit URL-basiertem QoS (Quality of Service,
Dienstqualität) können IT-Administratoren sicherstellen, dass kritischer
Webdatenverkehr die richtige Priorität erhält. So wird die Leistung in
Netzwerken mit hoher Auslastung gesteigert.
Durch die Unterstützung von DNSSEC können Windows 7- und
Windows Server 2008 R2-Computer DNS-Server authentifizieren. Hierdurch können
Man-in-the-Middle-Angriffe abgewehrt werden. Bei einem
Man-in-the-Middle-Angriff werden Clients zu einem böswilligen Server
umgeleitet, sodass Angreifer Kennwörter oder vertrauliche Daten abfangen
können.
Im folgenden ein kleiner Ausschnitt an neues Features in der
Anwendungsplattform von Windows Server 2008 R2:
Die "Terminal Services" wurden in "Remote
Desktop Services" umbenannt.
Außerdem wurde eine Vielzahl von Features überarbeitet:
·
Verbesserung des Gesamteindrucks beim Endbenutzer durch Aero
Glass-Unterstützung, Audiorecorder, Unterstützung mehrerer Bildschirme usw.
·
Unterstütung von Nicht-Microsoft-Betriebssystemen (Apple MacOS)
·
Virtual Desktop Integration (VDI): Programme, die von
Remote Desktop Services zur Verfügung gestellt werden (RemoteApp), erscheinen
im Startmenü und werden dadurch nahtlos in die Benutzeroberfläche des
Endbenutzers integriert.
Zusätzliche Features:
·
Live Migration (Voraussetzung: Windows Failover Cluster)
·
Cluster Shared Volumes
Neue Features:
·
FTP 7 bereits integriert
·
Neuer "Configuration Editor" im MMC-Snap-In
"Internet Informationsdienste-Manager"
·
Einige Erweiterungen sind bereits vorinstalliert (WebDAV) und
müssen nicht mehr separat installiert werden
