Skip to content

Objektzugriffsversuche überwachen

MCSE In den erweiterten Sicheitseinstellungen kann der Zugriff auf Dateien überwacht werden. Das kann nur der Administrator einstellen oder ein anderen Benutzer der in den Überwachungsrichtlinien dieses Recht bekommen hat.

Backup-Strategien

MCSE Unter Programme/ Zubehör/ Systemprogramme/ Sicherung findet sich das NTBackup mit man komfortabel mit einem Assistenten seine Daten sichern kann. Dabei sind für die Prüfung die unterschiedlichen Arten von Backups zu kennen:


Ein Vollbackup (hier als "Normal" bezeichnet) ist die Sicherung aller Daten, unabhängig vom Datum ihrer letzten Sicherung. Dabei wird das Archiv-Bit gelöscht.

Bei der inkrementellen Datensicherung (auch Zuwachssicherung genannt) werden nur die Daten gesichert, die sich seit der letzten Datensicherung (meist der letzten inkrementellen Sicherung) verändert haben oder neu hinzu gekommen sind. Auch hier wird das Archiv-Bit gelöscht.
Die Vorteile sind eine geringere zu sichernde Datenmenge und schnellere Datensicherung. Der Nachteil ist ein relativ großer Aufwand bei der Wiederherstellung von Daten, da mehrere Sicherungen hintereinander überspielt werden müssen.

Bei einer differenziellen Sicherung werden die seit der letzten vollständigen Datensicherung geänderten oder neu erstellten Daten vollständig gespeichert. Die Nachteile sind eine größere zu sichernde Datenmenge und längere Datensicherung im Vergleich zur inkrementellen Sicherung. Hier wird das Archiv-Bit nicht gelöscht, damit beim nächsten Durchlauf die seit dem Vollbackup geänderten Daten erneut gesichert werden.
Der Vorteil ist ein relativ geringer Aufwand bei der Wiederherstellung von Daten, da maximal zwei Sicherungen, die letzte Volldatensicherung und die letzte differentielle Sicherung überspielt werden müssen.

Microsoft kennt auch noch die Kopie-Sicherung: Hier wird ein Vollbackup gemacht ohne das Archiv-Bit zu verändern. So etwas kann sinnvoll sein wenn eine zusätzliche Kopie für das Archiv oder zur Verwahrung an einem sicheren Ort angefertigt werden soll.

Täglich ist eine Methode von NTBackup bei der abhängig vom Datum der letzten Änderung gesichert wird. Das kann verwendet werden um die heute geänderten Daten auf ein Medium wie CD-ROM zu archivieren.

Windows 98 verwendet übrigens das Programm Msbackup um Sicherungen zu erstellen. Damit kann Ntbackup nicht umgehen, denn es ist nicht in der Lage die Software-Komprimierung von Msbackup zu verarbeiten.

NTFS-Berechtigungen für Ordner löschen und setzen

MCSE Für jeden Ordner können im Register "Sicherheit" die Berechtigungen geändert werden. Die Berechtigungen werden normalerweise vom darüber liegenden Objekt geerbt. Diese Berechtigungen lassen sich komplett entfernen, wenn man das Häkchen bei der Vererbung löscht.


Danach lassen sich Gruppen oder Benutzer mit Rechten ausstatten. Die normalen Rechte sind "Lesen", "Ausführen" und den "Inhalt anzeigen".


Das Recht "Ändern" muss extra erstellt werden! Nur so können Dateien geändert werden, "Schreiben" heisst nur, dass neue Dateien angelegt werden.

Der "Vollzugriff" erlaubt auch die Rechte zu ändern und den Besitz zu übernehmen.

Das Attribut "Verweigern" hat Priorität und wirkt sich auf die bereits gesetzten Rechte aus, die dadurch sofort angepasst werden.

Beim Kopieren auf das gleiche Laufwerk werden die Rechte des Zielverzeichnisses übernommen, weil eine neue Datei angelegt wird. Dagegen bleiben beim Verschieben die Rechte erhalten, weil sie ja nur umgehängt wird. Über die Laufwerksgrenze hinaus wird nicht wirklich verschoben, sondern kopiert und gelöscht.

Als Administrator kann man jederzeit den Besitz eines Ordners wieder übernehmen und dann die Rechte neue vergeben.
http://support.microsoft.com/kb/308419/de

Benutzer anlegen und Passwort-Richtlinien ändern

MCSE Unter "Programme/Verwaltung/Computer" können Benutzer angelegt werden. Die Konfiguration ist trivial, das serverbasierte Profil wird später noch ausführlich behandelt.


Unter "Programme/Verwaltung/Lokale Sicherheitsrichtlinie" lassen sich die Eigenschaften für die verwendeten Passwörter konfigurieren. Das Bild zeigt die Defaults für die Kennwörter. Wie oft darf oder muss das Kennwort geändert werden, wie lang und komplex soll es sein? Nur die maximale Länge ist nicht einstellbar, das sind immer 14 Zeichen.


Auch der Umgang mit Fehlversuchen ist einstellbar. Das funktioniert aber erst nach der ersten erfolgreichen Anmeldung, sonst werden Fehlversuche nicht entsprechend behandelt. Die Zeitangaben in Minuten scheinen auch nicht exakt zu sein, es wurde auch schon gesperrt obwohl die angegebene Zeit schon um war.

Setzt man die Anzahl der zwischenzuspeichernden vorherigen Anmeldungen auf Null so kann man sicherstellen, dass die Benutzer keinen Zugriff auf ihre Computer erhalten, solange sie nicht von einem Domänencontroller authentifiziert wurden (das ist sonst nämlich eine begrenzte Anzahl für den Offline-Betrieb möglich).

Diese Einstellungen sind nur über die Domain einstellbar, lokale Richtlinien werden immer überschrieben! Soll eine Einstellung nur für einen Rechner gelten, darf er nicht Mitglied der Domäne sein.

Hier würden sich auch biometrische Authentifizierungssysteme einhaken, die aber nicht viel bringen fingerabdruck.mpg .

Boot-Logo in Windows XP ändern

MCSE Das Logo beim booten von Windows XP kann man selbst durch ein eigenes ersetzen. Die Konfigurations-Datei für das Booten "boot.ini" muss dazu verändert werden. Im Bereich "[operating systems]" müssen an die zu startende Windows-Version nach "/fastdetect" die Schalter "/bootlogo /noguiboot" hinzugefügt werden. Das eigene Boot-Logo in der Größe 640x480 muss dann als "Boot.bmp" in 16-bit Farbauflösung im Windows-Verzeichnis abgelegt werden.

Statt selbst Dateien auszuwechseln kann man sich ein Freeware-Tool installieren.
http://www.stardock.com/products/bootskin/
tweetbackcheck