Know-how

    EFS-Verschlüsselung in einer Domäne verwalten

    Die ausgestellten Zertifikate lassen sich an der Konsole der Zertifizierungsstelle nachverfolgenIn einer Organisation möchte man EFS-Verschlüsselung zentral verwalten statt, wie an Stand-Alone- oder Workgroup-Rechnern, jedem Benutzer selbst die Erzeugung und Sicherung seiner Schlüssel und Zertifikate zu überlassen. So ist gewährleistet, dass auch nach einem Password-Reset, der Restaurierung des Gerätes per Image oder ähnlichen administrativen Eingriffen der Benutzer Zugriff auf seine verschlüsselten Dateien hat: Schlüssel, Zertifikate und Wie­der­her­stellungs­agenten verwaltet das Active Directory. Voraussetzung dazu ist die Einrichtung einer PKI.

    Windows Server 2008 (R2) Zertifizierungsstelle einrichten

    Active-Directory-Zertifikatdienste sind installiertWährend private oder Workgroup-Rechner für viele Zwecke, wie etwa die EFS-Verschlüsselung von Dateien, selbstgenerierte Schlüssel und selbstsignierte Zertifikate einsetzen, will man diese in einer Organisation in Form einer PKI zentral verwalten. Der erste Schritt in diese Richtung ist der Aufbau einer Zertifizierungs­stelle. Dieser beginnt mit der Installation der Active-Directory-Zertifikatdienste, einer Rolle des Windows Server 2008 R2.

    Virtuelle Festplatten (VHDs) öffnen und auslesen

    Disk-Manager VHD-BefehleMit der Virtualisierung von PCs und Server steigt auch die Zahl der Festplatten-Images, so dass man schnell den Überblick verlieren kann, was sie enthalten. Welches Betriebssystem sich auf einer virtuellen Festplatte befindet, sollte normalerweise aus dem Dateinamen hervorgehen, wenn Administratoren einer solchen Konvention folgen. Welche Edition von Windows installiert ist oder welche Updates eingespielt wurden, muss man dagegen auf einem anderen Weg ermitteln.

    EFS-Schlüssel (Recovery Agent) sichern und wiederherstellen

    Assistent zum Speichern des EFS-Schlüssels (teaser)Wenn man seine Dateien mit dem Encrypting File System (EFS) verschlüsselt, reicht eine Kennwortrücksetzdiskette im Falle eines vergessenen Passwortes nicht aus. Vielmehr muss man auch das Zertifikat des EFS Recovery Agent sichern, um nach dem Passwort-Reset wieder an seine Daten zu gelangen.

    Windows-Passwort zurücksetzen per USB-Stick

    Erstellung einer „Kennwortrücksetzdiskette“Gegen ein vergessenes lokales Passwort hilft unter Windows 7 ein Wechseldatenträger zur Passwort-Wiederherstellung, die Kennwort­rück­setz­diskette oder „Password Reset Disk“. Die Möglichkeit gab es bereits unter Windows XP. Windows ist es bei der Erstellung dieser Disk egal, was für eine Art von Wechseldatenträger es vorfindet – Floppy-Disks, USB-Sticks, SD-Karten, alles ist recht. Die „Password Reset Disk“ wirkt auch nach einem Wechsel des Passwortes durch den Benutzer, muss danach also nicht neu erstellt werden.

    Windows-7-Deployment: dünne versus dicke Images

    BildSeit Vista favorisiert Microsoft bei der Verteilung des Betriebssystems das Imaging auf Basis von WIM-Archiven, so dass die vorher übliche unbeaufsichtigte Installation mit Antwortdateien stark an Bedeutung verliert. Der Vorteil des neuen Verfahrens besteht darin, dass eine Referenzinstallation erfasst und auf eine Vielzahl von Rechnern mit unterschiedlicher Hardware-Ausstattung übertragen werden kann. Allerdings stellt sich die Frage, ob und wie viele Applikationen in das Image aufgenommen werden sollten.

    Verwendung drahtloser Netzwerke (WLAN) beschränken

    Wartung der WLAN-SicherheitsrichtlinieSich mit dem Notebook versehentlich in ein falsches WLAN einzubuchen, ist potentiell ein großes Sicherheitsrisiko.

    Definitionen für Microsoft Security Essentials / Forefront / Defender offline updaten

    Logo: Microsofts Security-ProdukteEinen Rechner, der längere Zeit offline war, möchte man eventuell zunächst mit den neuesten Antimalware-Definitionen versehen, bevor man ihn wieder zurück ans Netz holt. Microsoft bietet zu diesem Zweck im Malware Protection Center tagesaktuelle Downloads an, mit denen man die Security-Produkte des Herstellers updaten kann.

    Standalone-Updates (.msu) mit DISM in WIM-Images einspielen

    Offline-Servicing von WIM-Archiven mit DISMSeit Vista und Windows Server 2008 unterstützt Microsoft in seinen Deployment-Tools ein Imaging-Verfahren auf Basis von WIM-Archiven. Ein Vorzug dieser Datei-basierten Images im Vergleich zu Cloning auf Sektorebene besteht darin, dass man Patches oder Service Packs einspielen kann, ohne sie ausführen und anschließend neu erfassen zu müssen. Für dieses so genannte Offline-Servicing benötigt man Updates im .msu-Format sowie DISM, das unter anderem im WAIK enthalten ist.

    Windows 7 installieren: Disk-Images versus WIM-Archive

    WAIK Setup Thumbnail Für das Deployment von Windows XP nutzten die meisten Administratoren 2 Verfahren: die unbeaufsichtigte Installation mittels Antwortdatei und das Clonen von Referenz-PCs. Letzteres setzte Software von Drittanbietern voraus, weil Microsoft keine derartigen Tools mit dem Betriebssystem bereitstellte.

    Seiten