Sie sind auf Seite 1von 693

Windows 7-Support

in Unternehmen –
Original Microsoft Training
für Examen 70-685
Dieses Buch ist die deutsche Übersetzung von: Tony Northrup, J.C. Mackin:
MCITP Self-Paced Training Kit (Exam 70-685): Windows 7 Enterprise Desktop
Support Technician
Microsoft Press, Redmond, Washington 98052-6399
Copyright 2010 Microsoft Corporation

Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder
Garantie irgendeiner Art verbunden. Autor, Übersetzer und der Verlag übernehmen
folglich keine Verantwortung und werden keine daraus folgende oder sonstige Haftung
übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials oder
Teilen davon entsteht.

Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung
außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des
Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Überset-
zungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen
Systemen.

Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten,


Domänen, Personen, Orten, Ereignissen sowie E-Mail-Adressen und Logos sind frei
erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen
Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-
Adressen und Logos ist rein zufällig.

15 14 13 12 11 10 9 8 7 6 5 4 3 2 1
12 11 10

ISBN 978-3-86645-985-4

Copyright der deutschen Ausgabe:


© 2010 O’Reilly Verlag GmbH & Co. KG
Balthasarstr. 81, 50670 Köln
Alle Rechte vorbehalten

Übersetzung: Detlef Johannis, Kempten


Korrektorat: Claudia Mantel-Rehbach, Entraching
Fachlektorat und Satz: Günter Jürgensmeier, München
Umschlaggestaltung: Hommer Design GmbH, Haar (www.HommerDesign.com)
Layout und Gesamtherstellung: Kösel, Krugzell (www.KoeselBuch.de)
III

Inhaltsverzeichnis

Danksagungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XV
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII
Hardwarevoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVIII
Einrichten des Testnetzwerks für die Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
Verwenden der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
So installieren Sie die Übungstests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XX
So benutzen Sie die Übungstests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XX
So deinstallieren Sie die Übungstests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXII
Das Microsoft Certified Professional-Programm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXII
Support für dieses Buch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXII
Kapitel 1: Beseitigen von Hardwarefehlern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Bevor Sie beginnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 . . . . . . . 2
Problembehandlung mit dem Windows 7-Wartungscenter . . . . . . . . . . . . . . . . . . . . . 2
Behandeln von Problemen mit den Windows 7-Problembehandlungsmodulen . . . . . . 4
Behandeln von Problemen im Geräte-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Behandeln von Problemen mit der Zuverlässigkeitsüberwachung . . . . . . . . . . . . . . . 17
Behandeln von Problemen mit der Ereignisanzeige . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Behandeln von Startfehlern mit der Systemstartreparatur . . . . . . . . . . . . . . . . . . . . . . 20
Untersuchen von RAM-Fehlern mit der Windows-Speicherdiagnose . . . . . . . . . . . . . 24
Behandeln von Festplattenproblemen mit Chkdsk . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Behandeln von Festplattenproblemen mit der Defragmentierung . . . . . . . . . . . . . . . . 30
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten . . . . . . . . . . . . . . . . . . 34
Unterscheiden von Hardware- und Softwarefehlern . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Ablauf des Systemstarts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Behandeln von Netzteilproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Behandeln von Problemen mit dem Motherboard . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Behandeln von RAM-Problemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Behandeln von Festplattenproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Rückblick auf dieses Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
IV Inhaltsverzeichnis

Übungen mit Fallbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44


Übung mit Fallbeispiel 1: Problembehandlung für Abbruchfehler . . . . . . . . . . . . . . . 45
Übung mit Fallbeispiel 2: Problembehandlung für Systemabstürze . . . . . . . . . . . . . . 45
Vorgeschlagene Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Untersuchen und Beseitigen von Hardwareproblemen . . . . . . . . . . . . . . . . . . . . . . . . 46
Machen Sie einen Übungstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Kapitel 2: Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Bevor Sie beginnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Lektion 1: Problembehandlung für die Netzwerkkonnektivität . . . . . . . . . . . . . . . . . . . . . 49
Arbeiten mit der Windows-Netzwerkdiagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Tools zum Behandeln von Netzwerkproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Problembehandlung für eine APIPA-Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Behandeln von Verbindungsproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Lektion 2: Problembehandlung für die Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . 68
So führen Sie eine Problembehandlung für Namensauflösungsprobleme durch . . . . . 68
Verwalten des DNS-Caches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Lektion 3: Problembehandlung für Drahtlosnetzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Grundlagen von Drahtlosnetzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Herstellen der Verbindung zu Drahtlosnetzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Ändern der Konfiguration eines Drahtlosnetzwerks . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Ändern der Prioritäten für Drahtlosnetzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Sicherheit in Drahtlosnetzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Konfigurieren von WPA-EAP-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Konfigurieren von Drahtlosnetzwerkprofiltypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Behandeln häufiger Drahtlosnetzwerkprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Analysieren von Drahtlosverbindungsproblemen in der Ereignisanzeige . . . . . . . . . . 93
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Rückblick auf dieses Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Übungen mit Fallbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Übung mit Fallbeispiel 1: Behandeln eines Netzwerkproblems . . . . . . . . . . . . . . . . . 99
Übung mit Fallbeispiel 2: Problembehandlung beim Verbindungsaufbau zu einem
Drahtlosnetzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Vorgeschlagene Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Untersuchen und Beseitigen von Problemen mit der Netzwerkkonnektivität . . . . . . . 100
Untersuchen und Beseitigen von Namensauflösungsproblemen . . . . . . . . . . . . . . . . . 101
Untersuchen und Beseitigen von Problemen mit Drahtlosverbindungen . . . . . . . . . . . 101
Machen Sie einen Übungstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Inhaltsverzeichnis V

Kapitel 3: Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103


Bevor Sie beginnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Lektion 1: Problembehandlung für Netzwerkdrucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Verwenden des Problembehandlungsmoduls Drucker . . . . . . . . . . . . . . . . . . . . . . . . 105
Überwachen von Druckerereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Gruppenrichtlinieneinstellungen für die Problembehandlung . . . . . . . . . . . . . . . . . . . 108
Behandeln von Serverproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Behandeln von Treiberproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Behandeln von Netzwerkproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
Rückblick auf dieses Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Übungen mit Fallbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Übung mit Fallbeispiel 1: Probleme aufgrund ungenügender Privilegien . . . . . . . . . . 125
Übung mit Fallbeispiel 2: Behandeln eines Druckerproblems . . . . . . . . . . . . . . . . . . 125
Vorgeschlagene Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Untersuchen und Beseitigen von Problemen mit Netzwerkdruckern . . . . . . . . . . . . . 125
Machen Sie einen Übungstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Kapitel 4: Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Bevor Sie beginnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Lektion 1: Authentifizieren von Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Was ist Authentifizierung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Arbeiten mit der Anmeldeinformationsverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Problembehandlung für die Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit . . . . . 146
Internet Explorer-Add-Ons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Hinzufügen von Sites zur Liste Vertrauenswürdige Sites . . . . . . . . . . . . . . . . . . . . . . 154
Geschützter Modus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Problembehandlung für Zertifikatprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Erkennen von Einschränkungen, die durch Gruppenrichtlinien verursacht werden . . . 159
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung . . . . . . . . . . . . . . 167
Das verschlüsselnde Dateisystem EFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Rückblick auf dieses Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
VI Inhaltsverzeichnis

Übungen mit Fallbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190


Übung mit Fallbeispiel 1: Empfehlen von Datensicherheitstechnologien . . . . . . . . . . 190
Übung mit Fallbeispiel 2: Unerwünschte Internet Explorer-Add-Ons . . . . . . . . . . . . 191
Vorgeschlagene Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Untersuchen und Beseitigen von Anmeldeproblemen . . . . . . . . . . . . . . . . . . . . . . . . 191
Untersuchen und Beseitigen von Verschlüsselungsproblemen . . . . . . . . . . . . . . . . . . 192
Untersuchen und Beseitigen von Sicherheitsproblemen für Windows
Internet Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Machen Sie einen Übungstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Kapitel 5: Schützen von Clientsystemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Bevor Sie beginnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Lektion 1: Beseitigen von Malwareproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Grundlagen von Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Grundlagen der Benutzerkontensteuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Clients mit Windows-Defender vor Spyware schützen . . . . . . . . . . . . . . . . . . . . . . . 208
Erkennen, ob ein System mit Malware infiziert ist . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Beseitigen einer Malwareinfektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Rückblick auf dieses Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Übung mit Fallbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Übung mit Fallbeispiel 1: Beseitigen von Malwareinfektionen . . . . . . . . . . . . . . . . . 220
Vorgeschlagene Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware . . . . . . . . . 221
Machen Sie einen Übungstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen . . . . 223
Bevor Sie beginnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Lektion 1: Grundlagen von VPN-Clientverbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Grundlagen von VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Grundlagen der VPN-Tunnelprotokolle in Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . 234
Ablauf des Verbindungsaufbaus bei Remotezugriff-VPNs . . . . . . . . . . . . . . . . . . . . . 238
Problembehandlung für VPN-Clientverbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Lektion 2: Grundlagen von DirectAccess-Clientverbindungen . . . . . . . . . . . . . . . . . . . . . 254
Überblick über DirectAccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Grundlagen von DirectAccess und IPv6-Übergangstechnologien . . . . . . . . . . . . . . . . 255
Elemente der DirectAccess-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
DirectAccess-Clienteinstellungen für IPv6 von Hand konfigurieren . . . . . . . . . . . . . 262
IPv6-Internetfeatures auf dem DirectAccess-Server von Hand konfigurieren . . . . . . . 262
Abläufe beim Aufbau einer DirectAccess-Verbindung . . . . . . . . . . . . . . . . . . . . . . . . 263
Problembehandlung für DirectAccess-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . 264
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Inhaltsverzeichnis VII

Rückblick auf dieses Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269


Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Übungen mit Fallbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Übung mit Fallbeispiel 1: Problembehandlung für ein Remotezugriff-VPN . . . . . . . . 270
Übung mit Fallbeispiel 2: Problembehandlung für DirectAccess . . . . . . . . . . . . . . . . 270
Vorgeschlagene Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Untersuchen und Beseitigen von Remotezugriffsproblemen . . . . . . . . . . . . . . . . . . . 271
Machen Sie einen Übungstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Kapitel 7: Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Bevor Sie beginnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Lektion 1: Aktualisieren von Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Methoden für die Bereitstellung von Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Kompatibilität von Updates prüfen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Installieren von Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Überprüfen von Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
Problembehandlung für die Updateinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Entfernen von Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Rückblick auf dieses Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Übungen mit Fallbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Übung mit Fallbeispiel 1: Verteilen von Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Übung mit Fallbeispiel 2: Überwachen von Updates . . . . . . . . . . . . . . . . . . . . . . . . . 296
Vorgeschlagene Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Untersuchen und Beseitigen von Softwareupdateproblemen . . . . . . . . . . . . . . . . . . . 297
Machen Sie einen Übungstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Kapitel 8: Leistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Bevor Sie beginnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
Lektion 1: Weiterleiten von Ereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
So funktioniert die Ereignisweiterleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Konfigurieren der Ereignisweiterleitung in AD DS-Domänen . . . . . . . . . . . . . . . . . . 302
Konfigurieren der Ereignisweiterleitung in Arbeitsgruppenumgebungen . . . . . . . . . . 309
Problembehandlung für die Ereignisweiterleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Lektion 2: Behandeln von Leistungsproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Task-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Leistungsüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Sammlungssätze und Berichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
Problembehandlung für die Datenträgerleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Konfigurieren von Energieeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Systemkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
VIII Inhaltsverzeichnis

Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337


Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
Rückblick auf dieses Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
Übungen mit Fallbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Übung mit Fallbeispiel 1: Überwachen von Kioskcomputern . . . . . . . . . . . . . . . . . . 340
Übung mit Fallbeispiel 2: Behandeln eines Leistungsproblems . . . . . . . . . . . . . . . . . 341
Vorgeschlagene Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
Untersuchen und Beseitigen von Leistungsproblemen . . . . . . . . . . . . . . . . . . . . . . . . 342
Machen Sie einen Übungstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Kapitel 9: Beseitigen von Softwareproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Bevor Sie beginnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
Lektion 1: Beseitigen von Installationsfehlern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Überprüfen der Voraussetzungen für eine Softwareinstallation . . . . . . . . . . . . . . . . . 346
Grundlagen von Installationseinschränkungen durch AppLocker . . . . . . . . . . . . . . . . 350
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen . . . . . . 361
Beseitigen von Softwarekonfigurationsproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
Grundlagen der Anwendungskompatibilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Zusammenfassung der Lektion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Lernzielkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Rückblick auf dieses Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Übungen mit Fallbeispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Übung mit Fallbeispiel 1: Einschränken von Software mit AppLocker . . . . . . . . . . . 376
Übung mit Fallbeispiel 2: Konfigurieren von Anwendungskompatibilitäts-
einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Vorgeschlagene Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Untersuchen und Beseitigen von Problemen bei der Installation neuer Software . . . . 377
Untersuchen und Beseitigen von Softwarekonfigurationsproblemen . . . . . . . . . . . . . 377
Untersuchen und Beseitigen von Softwarefehlern . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Machen Sie einen Übungstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Anhang A: Konfigurieren der Windows-Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Grundlagen der Windows-Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Eingehenden Verkehr zulassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
Ausgehenden Verkehr sperren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Definieren komplexer Verkehrstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Grundlagen von Netzwerkstandorten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Grundlagen von Firewallprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Erstellen eingehender Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Erstellen eingehender Ausnahmen in Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . 388
Inhaltsverzeichnis IX

Problembehandlung für die Windows-Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389


Problembehandlung für die Windows-Firewalleinstellungen in der Systemsteuerung . 389
Problembehandlung für zugelassene Programme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Problembehandlung in der Konsole Windows-Firewall mit erweiterter Sicherheit . . . 392
Problembehandlung für die Windows-Firewall mit Gruppenrichtlinien . . . . . . . . . . . 395
Problembehandlung für die Windows-Firewall mithilfe der Firewallprotokolle . . . . . 397
Problembehandlung für die Windows-Firewall mithilfe von Ereignisprotokollen . . . . 398
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
Anhang B: Verwalten von Benutzerdateien und -einstellungen . . . . . . . . . . . . . . . . . . . . . . 403
Verwalten von Offlinedateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Grundlagen von Offlinedateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Arbeiten mit Offlinedateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
Verwalten der Datenträgerverwendung für Offlinedateien . . . . . . . . . . . . . . . . . . . . . 415
Konfigurieren von Offlinedateien mithilfe von Gruppenrichtlinien . . . . . . . . . . . . . . 417
Verwalten von Benutzerdaten im Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Grundlagen der Benutzerprofile in Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Grundlagen der Ordnerumleitung in Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434
Konfigurieren der Ordnerumleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Konfigurieren eines Zielordners . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438
Konfigurieren der Optionen auf der Registerkarte Einstellungen der Ordnerumleitung 439
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Schlüsselbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Anhang C: Konfiguration und Problembehandlung des Startvorgangs . . . . . . . . . . . . . . . 447
Was ist neu beim Start von Windows 7? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Startkonfigurationsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
Systemwiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Windows-Startleistungsdiagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
Ablauf des Startvorgangs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
POST-Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Anfangsstartphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Windows-Start-Manager-Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Windows-Startladeprogramm-Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Kernel-Ladephase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459
Anmeldephase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Wichtige Startdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
So konfigurieren Sie Starteinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
So verwenden Sie das Dialogfeld Starten und Wiederherstellen . . . . . . . . . . . . . . . . . 466
So verwenden Sie das Tool Systemkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
So verwenden Sie BCDEdit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
So entfernen Sie das Windows 7-Startladeprogramm . . . . . . . . . . . . . . . . . . . . . . . . . 473
So konfigurieren Sie ein Benutzerkonto für die automatische Anmeldung . . . . . . . . . 474
So deaktivieren Sie den Windows-Startsound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
So beschleunigen Sie den Startvorgang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
X Inhaltsverzeichnis

Der Ablauf bei der Behandlung von Startproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475


Problembehandlung für den Startvorgang, bevor das Windows-Logo erscheint . . . . . 476
Problembehandlung für den Startvorgang, nachdem das Windows-Logo erscheint . . . 485
Behandlung von Startproblemen nach der Anmeldung . . . . . . . . . . . . . . . . . . . . . . . . 496
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke . . . . . . . . . . . . . . . . 501
Verbesserungen für die Problembehandlung für Hardware und Treiber in Windows 7 . . . . 501
Die Windows-Problembehandlungsplattform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502
Ressourcenmonitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
Windows-Speicherdiagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Datenträgerfehlerdiagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
Selbstheilendes NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Höhere Zuverlässigkeit von Treibern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Verbesserte Fehlerberichterstattung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Der Ablauf bei der Behandlung von Hardwareproblemen . . . . . . . . . . . . . . . . . . . . . . . . . 508
So führen Sie eine Behandlung von Problemen durch, die verhindern,
dass Windows startet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
So führen Sie eine Behandlung von Problemen bei der Installation
neuer Hardware durch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
So führen Sie eine Behandlung von Problemen mit vorhandener Hardware durch . . . 509
So führen Sie eine Behandlung von nicht eindeutig zuordenbaren Symptomen durch 510
So diagnostizieren Sie Hardwareprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
So identifizieren Sie ausgefallene Geräte mit dem Geräte-Manager . . . . . . . . . . . . . . 512
So überprüfen Sie den Hardwarezustand Ihres Computers . . . . . . . . . . . . . . . . . . . . . 512
So prüfen Sie die Konfiguration Ihrer Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513
So überprüfen Sie, ob die Firmware von System und Peripheriegeräten
auf dem neusten Stand ist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
So testen Sie Ihre Hardware mit den Diagnosetools . . . . . . . . . . . . . . . . . . . . . . . . . . 515
So vereinfachen Sie Ihre Hardwarekonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
So diagnostizieren Sie Probleme im Zusammenhang mit Laufwerken . . . . . . . . . . . . 516
So verwenden Sie die eingebaute Diagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
So verwenden Sie die Zuverlässigkeitsüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . 517
So verwenden Sie Sammlungssätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
So verwenden Sie die Windows-Speicherdiagnose . . . . . . . . . . . . . . . . . . . . . . . . . . 519
So führen Sie eine Behandlung von Laufwerksproblemen durch . . . . . . . . . . . . . . . . . . . . 524
So treffen Sie Vorbereitungen für den Fall, dass Datenträgerfehler auftreten . . . . . . . 524
So verwenden Sie Chkdsk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
So verwenden Sie den Datenträgerbereinigungs-Assistenten . . . . . . . . . . . . . . . . . . . 530
So deaktivieren Sie den permanenten Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
So führen Sie eine Behandlung von Treiberproblemen durch . . . . . . . . . . . . . . . . . . . . . . 531
So finden Sie Treiberupdates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
So verwenden Sie die Treiberüberprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532
So verwenden Sie die Dateisignaturverifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
So können Sie mit dem Geräte-Manager die Ressourcennutzung anzeigen und ändern 535
So verwenden Sie die Systemwiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
So führen Sie eine Behandlung von USB-Problemen durch . . . . . . . . . . . . . . . . . . . . . . . 536
Inhaltsverzeichnis XI

So führen Sie eine Behandlung von Bluetooth-Problemen durch . . . . . . . . . . . . . . . . . . . . 541


Tools für die Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
DiskView . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Handle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Process Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
Anhang E: Behandlung von Problemen mit Netzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Tools für die Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
Arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Ereignisanzeige . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
Ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Nblookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Nbtstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Net . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554
Netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555
Network Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557
Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
PathPing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
Leistungsüberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565
Sammlungssätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567
Ressourcenmonitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570
Portqry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571
Route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Task-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576
TCPView . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578
Telnet-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
Test TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
Windows-Netzwerkdiagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
Der Ablauf bei der Behandlung von Netzwerkproblemen . . . . . . . . . . . . . . . . . . . . . . . . . 583
So führen Sie eine Behandlung von Netzwerkverbindungsproblemen durch . . . . . . . 584
So führen Sie eine Behandlung von Anwendungsverbindungsproblemen durch . . . . . 589
So führen Sie eine Behandlung von Namensauflösungsproblemen durch . . . . . . . . . . 592
So führen Sie eine Behandlung von Leistungsproblemen und sporadischen
Konnektivitätsproblemen durch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
So führen Sie eine Behandlung von Beitritts- oder Anmeldeproblemen
in einer Domäne durch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599
So führen Sie eine Behandlung von Problemen bei der Netzwerkerkennung durch . . 602
So führen Sie eine Behandlung von Problemen mit der Datei- und Druckerfreigabe
durch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
So führen Sie eine Behandlung von Problemen in Drahtlosnetzwerken durch . . . . . . 605
So führen Sie eine Behandlung von Firewallproblemen durch . . . . . . . . . . . . . . . . . . 607
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608
XII Inhaltsverzeichnis

Anhang F: Problembehandlung für Abbruchfehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609


Überblick über Abbruchmeldungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Identifizieren des Abbruchfehlers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
Informationen für die Problembehandlung recherchieren . . . . . . . . . . . . . . . . . . . . . . 610
Abbruchmeldungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Arten von Abbruchfehlern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613
Speicherabbilddateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
Konfigurieren von kleinen Speicherabbilddateien . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Konfigurieren von Kernelspeicherabbilddateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
Konfigurieren von vollständigen Speicherabbilddateien . . . . . . . . . . . . . . . . . . . . . . 617
So können Sie von Hand einen Abbruchfehler auslösen und
eine Speicherabbilddatei erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618
Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien . . . . . . . . . . . . 619
Vorbereitungen für das Auftreten von Abbruchfehlern treffen . . . . . . . . . . . . . . . . . . . . . . 623
Verhindern, dass das System nach einem Abbruchfehler neu startet . . . . . . . . . . . . . . 623
Aufzeichnen und Speichern der Abbruchmeldungen . . . . . . . . . . . . . . . . . . . . . . . . . 624
Überprüfen Sie die Anforderungen an den Festplattenplatz . . . . . . . . . . . . . . . . . . . . 625
Installieren von Kerneldebuggern und Symboldateien . . . . . . . . . . . . . . . . . . . . . . . . 625
Meldungen über Hardwarefehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
Checkliste für Abbruchmeldungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626
Überprüfen Sie Ihre Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
Überprüfen Sie Ihre Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Antworten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659
Die Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Für meine Oma June
TONY N ORTHRUP

Für meine Nichten Cassidy und Mckenna


und meinen Neffen Ralph
J.C. M ACKIN
XV

Danksagungen

Dieses Buch wurde von einem Team von Profis zusammengestellt, und wir, die Autoren,
möchten diesen Leuten für ihre hervorragende Arbeit danken. Bei Microsoft arbeiteten Ken
Jones und Martin DelRe unsere Verträge aus, und Maria Gargiulo war als Lektorin tätig.
Denise Bankaitis, Carol Vu und Christian Holdener koordinierten die Zusammenarbeit der
vielen Leute, die an diesem Buch mitgearbeitet haben. Susan McClung war die Korrektorin,
deren Aufgabe es ist, den Buchtext stilsicher und konsistent zu halten. Lindsey Valich, Paul
Connelly und Nicole Schlutt waren ebenfalls als Korrektoren tätig.
Bob Dean und Bob Hogan prüften den Inhalt. Sie halfen dabei, die Beschreibungen so
korrekt wie möglich zu machen.
Tony Northrup möchte außerdem seinen Freunden dafür danken, dass sie ihm am Ende
langer Arbeitstage beim Entspannen halfen. Besonderer Dank geht an Eddie und Christine
Mercado (für die Abendessen), Jose und Lucy Mercado (por el arroz y los frijoles), Brian
und Melissa Rheaume (für die Drinks), Diane Glenn (für den Kuchen), Jose Gonzalez (für
die Scherze) und Madelyn Knowles (für die Geduld).
J.C. Mackin möchte allen Freunden und seiner Familie für ihre Unterstützung und Ermuti-
gung danken.
Es ist ein Riesengeschenk, mit Leuten zusammenzuarbeiten, die Freunde sind. Ein hervor-
ragendes Team verbessert nicht nur die Qualität des Buchs, es macht auch die Arbeitsatmo-
sphäre viel angenehmer. Dieses Buch zu schreiben, war für uns das bisher angenehmste
Projekt. Wir hoffen, in Zukunft erneut mit euch allen zusammenarbeiten zu dürfen.
XVII

Einführung

Dieses Training richtet sich an IT-Mitarbeiter, die in einer Vielzahl von Umgebungen für den
Support für Windows 7 auf Level 1 oder 2 zuständig sind und die Prüfung 70-685 als Micro-
soft Certified Information Technology Professional (MCITP) ablegen möchten. Wir setzen
voraus, dass Sie bereits die Grundlagen von Microsoft Windows-Clientbetriebssystemen
und der wichtigsten Internettechnologien kennen, bevor Sie dieses Buch in Angriff nehmen.
Informationen zur Vorbereitung auf Prüfung 70-685 finden Sie (in englischer Sprache) unter
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-685.
Beim Durcharbeiten dieses Trainings lernen Sie folgende Fertigkeiten:
„ Untersuchen und Beseitigen von Problemen mit Desktopanwendungen
„ Untersuchen und Beseitigen von Netzwerkproblemen
„ Verwalten und Pflegen von Systemen, die unter dem Clientbetriebssystem Windows 7
laufen
„ Support für mobile Benutzer
„ Untersuchen und Beseitigen von Sicherheitsproblemen
In der Tabelle E.1 ist aufgeschlüsselt, wo die einzelnen Prüfungslernziele behandelt werden.

Tabelle E.1 Prüfungslernziele für Examen 70-685: Windows 7, Enterprise Desktop Support
Technician
Prüfungsziel Kapitel Lektion
Untersuchen und Beseitigen von Problemen mit Desktopanwendungen
Untersuchen und Beseitigen von Problemen bei der Installation neuer Software 9 1
Untersuchen und Beseitigen von Softwarekonfigurationsproblemen 9 2
Untersuchen und Beseitigen von Softwarefehlern 9 1
Untersuchen und Beseitigen von Netzwerkproblemen
Untersuchen und Beseitigen von Anmeldungsproblemen 4 1
Untersuchen und Beseitigen von Netzwerkkonnektivitätsproblemen 2 1
Untersuchen und Beseitigen von Namensauflösungsproblemen 2 2
Untersuchen und Beseitigen von Netzwerkdruckerproblemen 3 1
Verwalten und Pflegen von Systemen, die unter dem
Clientbetriebssystem Windows 7 laufen
Untersuchen und Beseitigen von Leistungsproblemen 8 1 und 2
Untersuchen und Beseitigen von Hardwareproblemen 1 1 und 2
Support für mobile Benutzer
Untersuchen und Beseitigen von Problemen im Bereich der 2 3
Drahtloskonnektivität
Untersuchen und Beseitigen von Remotezugriffsproblemen 6 1 und 2 f
XVIII Einführung

Prüfungsziel Kapitel Lektion


Untersuchen und Beseitigen von Sicherheitsproblemen
Untersuchen und Beseitigen von Sicherheitsproblemen 4 2
beim Windows Internet Explorer
Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware 5 1
Untersuchen und Beseitigen von Verschlüsselungsproblemen 4 3
Untersuchen und Beseitigen von Softwareupdateproblemen 7 1

Hinweis Prüfungsziele
Die hier aufgeführten Prüfungsziele waren zu dem Zeitpunkt gültig, als das Buch veröffent-
licht wurde. Prüfungsziele können von Microsoft jederzeit ohne vorherige Ankündigung und
ohne Begründung geändert werden. Eine stets aktuelle Liste der Prüfungsziele finden Sie auf
der Website von Microsoft Learning unter http://www.microsoft.com/learning/en/us/Exam.
aspx?ID=70-685.

Hardwarevoraussetzungen
Sie können praktisch alle Übungen in diesem Buch mithilfe virtueller Computer durcharbei-
ten. Die einzige Ausnahme ist Lektion 3 in Kapitel 2 (in der eine Drahtlosnetzwerkkarte zum
Einsatz kommt), für die Sie einen Hardwarecomputer brauchen. Tabelle E-2 führt die Min-
dest- und die empfohlenen Hardwarevoraussetzungen für Windows 7 auf.

Tabelle E-2 Mindestanforderungen an die Hardware für Windows 7


Hardwarekomponente Mindestanforderungen Empfohlen
Prozessor 1 GHz (x86), 1,4 GHz (x64) 2 GHz oder schneller
RAM 1 GByte 2 GByte oder mehr
Festplattenspeicher 16 GByte 40 GByte oder mehr

Daneben brauchen Sie eine Installation von Windows Server 2008 R2, das nur als 64-Bit-
Version zur Verfügung steht. Daher brauchen Sie Hardware oder eine Virtualisierungssoft-
ware, die 64-Bit-Betriebssysteme unterstützt. Zum Zeitpunkt, als dieses Buch geschrieben
wurde, boten Microsoft Windows Virtual PC und Microsoft Virtual Server 2005 keine Unter-
stützung für 64-Bit-Gastsysteme. Sun VirtualBox unterstützt 64-Bit-Gastsysteme, Sie können
es kostenlos von http://www.virtualbox.org herunterladen. Stattdessen können Sie auch das
Feature Hyper-V in Windows Server 2008 R2 verwenden, wie unter http://www.microsoft.
com/windowsserver2008/en/us/hyperv-main.aspx beschrieben.
Sofern Sie vorhaben, mehrere virtuelle Computer auf demselben Hardwarecomputer einzu-
richten (die empfohlene Vorgehensweise), brauchen Sie mehr Leistung, wenn Sie flüssig
arbeiten wollen. Ein Computer mit 4 GByte RAM und 60 GByte freiem Festplattenplatz ist
in der Lage, alle virtuellen Computer zu hosten, die in den Übungen dieses Buchs vorausge-
setzt werden.
Einführung XIX

Einrichten des Testnetzwerks für die Übungen


Für die Übungen in diesem Training brauchen Sie mindestens drei echte oder virtuelle
Computer, die folgendermaßen eingerichtet sind:
„ Ein Server, der unter Windows Server 2008 R2 Standard läuft und als Domänencontrol-
ler konfiguriert ist. Geben Sie dem Server den Namen DC1 und der Domäne den Namen
nwtraders.msft.
„ Zwei Computer mit Windows 7, die als Domänenmitglieder konfiguriert sind. Geben Sie
diesen Computern die Namen CLIENT1 und CLIENT2.
Übernehmen Sie beim Installieren der Betriebssysteme alle Standardeinstellungen, ändern
Sie lediglich die Computernamen, wie hier beschrieben.

Verwenden der CD
Die in diesem Buch enthaltene Begleit-CD enthält folgende Komponenten:
„ Übungstests Mit den Übungstests (in englischer Sprache) können Sie Ihre Kenntnisse
zum Support für Windows 7 vertiefen. Sie können diese Übungstests an Ihre Anforde-
rungen anpassen, indem Sie die gewünschten Bereiche aus den Lernzielkontrollfragen
dieses Buchs auswählen. Oder Sie üben für die Prüfung 70-685 mithilfe von Tests, die
aus einem Pool mit etwa 200 realistischen Prüfungsfragen zusammengestellt werden.
Diese Zahl reicht aus, um etliche unterschiedliche Testprüfungen durchzuführen, sodass
Sie optimal vorbereitet sind.
„ Übungen Einige Kapitel in diesem Buch enthalten Skripts, die Ihre Testcomputer für
die Übungen am Ende einer Lektion konfigurieren. Sie finden diese Skripts im Ordner
Practice Exercises auf der Begleit-CD.
„ Ein E-Book Eine elektronische Version (E-Book) dieses Buchs (in englischer Sprache)
ist auf der Begleit-CD enthalten. So können Sie das Buch lesen, auch wenn Sie gerade
keine Gelegenheit haben, die Papierversion mitzunehmen. Das E-Book liegt im PDF-
Format (Portable Document Format) vor, Sie können es sich mit Adobe Acrobat oder
Adobe Reader ansehen.

Hinweis Wenn Sie dieses Buch ohne Begleitmedium erworben haben (z.B. als E-Book),
können Sie die für das Durcharbeiten notwendigen Dateien unter dieser Adresse herunter-
laden: http://go.microsoft.com/fwlink/?LinkID=194574&clcid=0x407.

Systemvoraussetzungen für die Begleit-CD


Um die Begleit-CD zu diesem Buch benutzen zu können, brauchen Sie einen Computer
mit Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 oder
Windows XP. Dieser Computer muss folgende Mindestvoraussetzungen erfüllen:
„ 32-Bit- (x86) oder 64-Bit-Prozessor (x64) mit 1 GHz
„ 1 GByte Arbeitsspeicher
„ Eine Festplattenpartition mit mindestens 1 GByte freiem Platz
„ Ein Monitor mit einer Auflösung von mindestens 800 × 600 Pixeln
XX Einführung

„ Tastatur
„ Maus oder anderes Zeigegerät
„ Ein optisches Laufwerk, das CD-ROMs lesen kann
Auf dem Computer muss folgende Software vorhanden sein:
„ Ein Webbrowser, beispielsweise Microsoft Internet Explorer Version 6 oder neuer
„ Eine Anwendung zum Anzeigen von PDF-Dateien, zum Beispiel Adobe Acrobat
Reader, den Sie unter http://www.adobe.com/reader herunterladen können
Diese Voraussetzungen gelten für die Nutzung der Begleit-CD. Um die Übungen in
diesem Training durchzuarbeiten, brauchen Sie zusätzliche Hard- oder Software, wie
weiter oben genau beschrieben.

So installieren Sie die Übungstests


Gehen Sie folgendermaßen vor, um die Übungstests von der Begleit-CD auf Ihre Festplatte
zu installieren:
1. Legen Sie die Begleit-CD in das CD-Laufwerk und stimmen Sie der Lizenzvereinbarung
zu. Daraufhin öffnet sich ein CD-Menü.

Hinweis Falls sich das CD-Menü nicht öffnet


Falls das CD-Menü oder die Lizenzvereinbarung nicht angezeigt werden, ist wahrschein-
lich die AutoRun-Funktion auf Ihrem Computer deaktiviert. Bitte lesen Sie in diesem
Fall die Datei Readme.txt auf der Begleit-CD, dort finden Sie Hinweise zu alternativen
Installationsmethoden.

2. Klicken Sie auf das Feld Practice Tests und folgen Sie den angezeigten Anweisungen.

So benutzen Sie die Übungstests


Gehen Sie folgendermaßen vor, um die Übungstests zu starten:
1. Klicken Sie auf Start/Alle Programme/Microsoft Press Training Kit Exam Prep.
Daraufhin öffnet sich ein Fenster, in dem alle Microsoft Press-Training Kit-Prüfungs-
vorbereitungskomponenten aufgelistet sind, die Sie auf Ihrem Computer installiert
haben.
2. Klicken Sie doppelt auf die Lernzielkontroll- oder Übungstests, die Sie durcharbeiten
möchten.

Hinweis Unterschiede zwischen Lernzielkontroll- und Übungstests


Wählen Sie den Punkt Lesson Review zu (70-685) Windows 7, Enterprise Desktop
Support Technician aus, wenn Sie die Fragen aus den »Lernzielkontrolle«-Abschnitten
dieses Buchs durcharbeiten möchten. Wählen Sie den Punkt Practice Test aus, wenn Sie
Fragen aus einem Pool mit über 200 Übungsfragen beantworten möchten, die den Fra-
gen in der Prüfung 70-685 ähneln.
Einführung XXI

Optionen für Lernzielkontrollfragen


Wenn Sie die Lernzielkontrollfragen ausgewählt haben, öffnet sich das Dialogfeld Custom
Mode, in dem Sie Ihren Test konfigurieren können. Sie können einfach auf OK klicken, um
die Standardeinstellungen zu übernehmen, oder auswählen, wie viele Fragen gestellt werden
sollen, welche Prüfungsziele Sie abdecken wollen und ob die Übungsdauer gemessen werden
soll. Falls Sie einen Test ein weiteres Mal durchführen, können Sie auswählen, ob sämtliche
Fragen erneut angezeigt werden sollen oder nur die Fragen, die Sie beim letzten Mal falsch
oder überhaupt nicht beantwortet haben.
Sobald Sie auf OK geklickt haben, beginnt die Lernzielkontrolle.
„ Beantworten Sie im Test die Fragen und wechseln Sie mit den Schaltflächen Next und
Previous von einer Frage zur anderen.
„ Nachdem Sie eine Frage beantwortet haben, können Sie überprüfen, ob die Antwort
richtig war, indem Sie auf die Schaltfläche Explanation klicken. Dabei wird auch eine
Erläuterung zu den richtigen und falschen Antworten angezeigt.
„ Falls Sie lieber erst den gesamten Test durcharbeiten wollen, bevor Sie sich das Ergebnis
ansehen, können Sie alle Fragen beantworten und dann auf Score Test klicken. Daraufhin
wird eine Zusammenfassung der ausgewählten Prüfungsziele angezeigt, in der Sie sehen,
wie viel Prozent der Fragen Sie insgesamt und pro Lernziel richtig beantwortet haben.
Sie können sich den Test ausdrucken, Ihre Antworten durchgehen oder den Test wieder-
holen.

Optionen für Übungstests


Wenn Sie einen Übungstest starten, können Sie auswählen, ob Sie im Zertifizierungs-, Lern-
oder benutzerdefinierten Modus arbeiten wollen:
„ Zertifizierungsmodus (Certification Mode) Dieser Modus ähnelt stark dem Ablegen
einer echten Zertifizierungsprüfung. Der Test enthält eine bestimmte Zahl von Fragen,
die Zeit ist begrenzt und Sie können die Prüfung nicht unterbrechen.
„ Lernmodus (Study Mode) Erstellt einen Test ohne Zeitbegrenzung, in dem Sie sich
die richtigen Antworten und die zugehörigen Erklärungen ansehen können, nachdem Sie
jeweils eine Frage beantwortet haben.
„ Benutzerdefinierter Modus (Custom Mode) In diesem Modus haben Sie volle Kon-
trolle über die Testoptionen, sodass Sie den Test nach Belieben gestalten können.
Die Benutzeroberfläche beim Durchführen des Tests ist in allen Modi fast dieselbe, allerdings
sind jeweils andere Optionen aktiviert oder deaktiviert. Die wichtigsten Optionen sind im
vorhergehenden Abschnitt, »Optionen für Lernzielkontrollfragen«, beschrieben.
Wenn Sie nachsehen, ob Ihre Antwort für eine einzelne Frage eines Übungstests richtig war,
wird ein Verweisabschnitt (References) angezeigt, in dem aufgelistet ist, an welcher Stelle
im Training das entsprechende Thema behandelt wird und wo Sie weitere Informationen
finden. Nachdem Sie auf Test Results geklickt haben, um sich das Gesamtergebnis für Ihren
Test anzeigen zu lassen, können Sie auf die Registerkarte Learning Plan klicken, um sich
eine Liste der Verweise für jedes einzelne Lernziel anzeigen zu lassen.
XXII Einführung

So deinstallieren Sie die Übungstests


Sie können die Übungstests mit dem Eintrag Programm deinstallieren in der Windows-
Systemsteuerung deinstallieren.

Das Microsoft Certified Professional-Programm


Die Microsoft-Zertifizierungen bieten Ihnen eine optimale Möglichkeit, Ihre Kenntnisse der
aktuellen Microsoft-Produkte und -Technologien unter Beweis zu stellen. Die Prüfungen
und entsprechenden Zertifikate dienen als Nachweis Ihrer Kompetenz in Bezug auf Entwurf,
Entwicklung, Implementierung und Unterstützung von Lösungen mit Microsoft-Produkten
und -Technologien. Fachkräfte, die über Microsoft-Zertifikate verfügen, sind als Experten
anerkannt und in der Branche äußerst gefragt. Die Zertifizierung bringt zahlreiche Vorteile
für Bewerber, Arbeitgeber und Organisationen mit sich.

Weitere Informationen Alle Microsoft-Zertifizierungen


Eine vollständige Liste der Microsoft-Zertifizierungen finden Sie unter http://www.microsoft.
com/learning/mcp/default.asp.

Support für dieses Buch


Microsoft Press hat sich um die Richtigkeit der in diesem Buch sowie der auf der Begleit-
CD enthaltenen Informationen bemüht. Mit Anmerkungen, Fragen oder Verbesserungsvor-
schlägen zu diesem Buch oder der Begleit-CD können Sie sich an Microsoft Press wenden:
Per E-Mail (auf Englisch):
tkinput@microsoft.com
Per Post: Microsoft Press
Betrifft: Training 70-685: Windows 7-Support in Unternehmen
Konrad-Zuse-Straße 1
85716 Unterschleißheim
Weitere Supportinformationen zu diesem Buch und der beiliegenden CD-ROM finden Sie
auf der Supportwebsite von Microsoft Press unter http://microsoft.com/germany/mspress/
support/. Sie können eine Frage auch direkt in die Microsoft Press Knowledge Base ein-
geben. Besuchen Sie hierzu die folgende Website: http://www.microsoft.com/mspress/
support/search.asp. Weitere Informationen zu den Microsoft-Softwareprodukten erhalten
Sie unter der Adresse http://support.microsoft.com/.
1

K A P I T E L 1

Beseitigen von Hardwarefehlern

Windows 7 ist das neueste Mitglied in der Familie der Windows-Clientbetriebssysteme, zu


der unter anderem Windows XP und Windows Vista gehören. Wenn Sie ein Supporttechniker
in einem großen Unternehmen sind, das Windows 7 bereitgestellt hat, gehören zu Ihren Auf-
gaben wahrscheinlich nicht nur der Support für dieses Betriebssystem, sondern auch für alle
Clientanwendungen, die unter Windows 7 laufen, sowie für die Hardwarecomputer, auf denen
die Software ausgeführt wird.
Für Ihre Arbeit müssen Sie daher wissen, welche Tools sich für die Diagnose fehlerhafter
Hardware eignen und wie Sie diese Tools einsetzen. Windows 7 bringt etliche solcher Tools
mit, darunter integrierte Problembehandlungsmodule, Speicherdiagnosesoftware, Daten-
trägerdiagnosesoftware und andere Dienstprogramme.
Dieses Kapitel stellt diese Tools vor und beschreibt Strategien für die Problembehandlung
bestimmter Hardwarekomponenten.

Prüfungslernziele in diesem Kapitel:


„ Untersuchen und Beseitigen von Hardwareproblemen

Lektionen in diesem Kapitel:


„ Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 . 2
„ Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten . . . . . . . . . . . . . 34

Bevor Sie beginnen


Um die Übungen in diesem Kapitel durcharbeiten zu können, brauchen Sie:
„ Einen Computer mit Windows 7 Professional, Enterprise oder Ultimate
„ Grundkenntnisse über Microsoft Windows
2 Kapitel 1: Beseitigen von Hardwarefehlern

Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools


von Windows 7
In dieser Lektion lernen Sie die Tools kennen, die Windows 7 zur Verfügung stellt (zum
Beispiel Wartungscenter, Windows 7-Problembehandlungsmodule, Zuverlässigkeitsüber-
wachung, Ereignisanzeige und Geräte-Manager), um eine Problembehandlung bei Com-
puterfehlern einzuleiten. Anschließend stellt die Lektion weitere Tools vor (beispielsweise
Systemstartreparatur, Windows-Speicherdiagnose, Chkdsk und Defragmentierung), die Sie
einsetzen können, um Fehler im Bereich bestimmter Hardwarekomponenten zu untersuchen,
zu diagnostizieren und zu reparieren.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Einsetzen verschiedener Tools aus Windows 7 für die Problembehandlung von Hard-
warefehlern
Veranschlagte Zeit für diese Lektion: 60 Minuten

Problembehandlung mit dem Windows 7-Wartungscenter


Wenn Sie ein Computerproblem untersuchen, dessen Ursache nicht bekannt ist, ist das War-
tungscenter der erste und bequemste Anlaufpunkt, um nach entsprechenden Informationen
zu suchen. Das Wartungscenter ist eine erweiterte Version des Tools, das in Windows Vista
den Namen Sicherheitscenter trug. In Windows 7 zeigt das erweiterte Wartungscenter mehr
als nur Sicherheitsbenachrichtigungen an. Es listet alle wichtigen Warnungen auf, die das
Eingreifen des Benutzers erfordern. Diese Warnungen weisen zwar oft auf Softwareprobleme
im Bereich der Sicherheit (etwa fehlerhafte Firewall- oder Antivireneinstellungen) oder War-
tung (beispielsweise fehlgeschlagene Datensicherungen) hin, sie können aber auch bestimmte
Arten von Hardwareproblemen aufdecken, beispielsweise aufgrund fehlender oder inkom-
patibler Gerätetreiber. Abbildung 1.1 zeigt das Wartungscenter.

Abbildung 1.1 Das Windows 7-Wartungscenter


Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 3

Sie öffnen das Wartungscenter, indem Sie im Infobereich der Taskleiste auf das Flaggensym-
bol klicken. Daraufhin öffnet sich ein Menü (Abbildung 1.2), das Links zu allen Warnmel-
dungen sowie Einträge zum Durchführen der empfohlenen Aktionen und zum Öffnen des
Wartungscenters enthält.

Abbildung 1.2 Das Wartungscenter zeigt


im Infobereich ein Flaggensymbol an

Selbst wenn Sie im Wartungscenter keine Warnmeldungen zu dem Problem finden, das Sie
gerade untersuchen, können Sie es nutzen, um andere wichtige Problembehandlungswerk-
zeuge aufzurufen. Beispielsweise haben Sie im Wartungscenter die Möglichkeit, die Pro-
blembehandlungsmodule der Systemsteuerung oder die Zuverlässigkeitsüberwachung zu
öffnen; diese Tools werden weiter unten in diesem Kapitel beschrieben.

Aktivieren von Benachrichtigungen im Wartungscenter


Sie haben die Möglichkeit, das Wartungscenter so zu konfigurieren, dass es nur bestimmte
Arten von Warnmeldungen anzeigt. Wenn Sie daher ein Hardwareproblem untersuchen und
keine entsprechenden Warnungen im Wartungscenter angezeigt werden, sollten Sie zuerst
sicherstellen, dass die Windows-Fehlermeldungen nicht ausgeschaltet sind. Klicken Sie dazu
im Wartungscenter auf Wartungscentereinstellungen ändern (Abbildung 1.3).

Abbildung 1.3 Ändern der Wartungscentereinstellungen


4 Kapitel 1: Beseitigen von Hardwarefehlern

Stellen Sie dann unter Meldungen aktivieren bzw. deaktivieren sicher, dass das Kontrollkäst-
chen Windows-Problembehandlung aktiviert ist (Abbildung 1.4).

Abbildung 1.4 Aktivieren der Meldungen für die Windows-Problembehandlung


im Wartungscenter

Behandeln von Problemen mit den Windows 7-Problembehandlungsmodulen


Die Problembehandlungsmodule (troubleshooter) sind weitere neue Tools in Windows 7, die
Ihnen bei der Diagnose von Hardwarefehlern helfen. Problembehandlungsmodule sind Assis-
tenten, die versuchen, häufig auftretende Computerprobleme automatisch zu diagnostizieren
und zu reparieren. Windows 7 bringt viele integrierte Problembehandlungsmodule mit, zahl-
reiche weitere werden von anderen Herstellern über die neue Windows-Problembehandlungs-
plattform zur Verfügung gestellt. Die Windows-Problembehandlungsplattform liefert mithilfe
einer Skriptschnittstelle detaillierte Problembehandlungsinformationen über die Windows-
Umgebung und stellt ein simples Gerüst zum Erstellen neuer Problembehandlungsassistenten
zur Verfügung. Das ermöglicht es Softwareentwicklern, Geräteherstellern und sogar Ad-
ministratoren, neue Problembehandlungsmodule zu schreiben, die bei Diagnose und Repa-
ratur bestimmter Geräte, Anwendungen oder Konfigurationsbereiche helfen.
Beispielsweise kann ein Hersteller externer Festplattenlaufwerke ganz einfach ein Problem-
behandlungsmodul entwickeln, das seinen Kunden hilft, Fehler der Festplatten zu erkennen
und zu beseitigen, sodass die Kunden in vielen Fällen nicht den technischen Support anzu-
rufen brauchen. Auch ein Administrator kann ein Problembehandlungsmodul erstellen, das
häufig vorkommende Probleme im lokalen Unternehmensnetzwerk erkennt und beseitigt;
dann braucht er nur den Benutzern zu zeigen, wie sie dieses Problembehandlungsmodul
ausführen, bevor sie beim Helpdesk anrufen.
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 5

Praxistipp
J.C. Mackin
Wie nützlich sind die Problembehandlungsmodule nun wirklich? Die in Windows 7 ein-
gebauten Problembehandlungsmodule sind nicht dazu gedacht, Tier-2-Support zu ersetzen.
Daher helfen sie in erster Linie normalen Benutzern, grundlegende Probleme zu überprü-
fen. Man kann aber für die Zukunft deutlich mehr von dieser neuen Technologie erwarten,
denn die Leistungsfähigkeit der Windows-Problembehandlungsplattform ist beeindru-
ckend. Problembehandlungsmodule besitzen das Potenzial, Einstellungen detailliert zu
untersuchen und viele Low-Level-Konfigurationseinstellungen zu überprüfen. Das reicht
so weit, dass sich diese Tools in Zukunft für Tier-2-Support eignen werden. Am besten
können die Hersteller diese Möglichkeiten nutzen, weil sie ihr jeweiliges Produkt am
besten kennen. So können sie spezialisierte Problembehandlungsmodule entwickeln, mit
denen die jeweils relevanten Low-Level-Einstellungen überprüft werden. Der Nutzen der
Problembehandlungsmodule wird für Tier-2-Desktopsupporttechniker dann am größten,
wenn Hardwarehersteller auf die Windows-Problembehandlungsplattform zurückgreifen,
um den Support für ihre Produkte zu verbessern. Ob sich dieses Konzept tatsächlich auf
breiter Basis durchsetzt, bleibt abzuwarten.

Als dieses Buch geschrieben wurde, enthielt Windows 23 Problembehandlungsmodule. Sie


sind in Tabelle 1.1 aufgelistet. Einige der integrierten Problembehandlungsmodule, zum
Beispiel Hardware und Geräte, Wiedergeben von Audiodateien und Netzwerkadapter, die-
nen dazu, bei der Diagnose spezieller Hardwareprobleme zu helfen. Das Problembehand-
lungsmodul Systemwartung enthält eine Routine, die auf den lokal angeschlossenen Fest-
platten nach fehlerhaften Sektoren, verlorenen Clustern, querverbundenen Dateien und
Verzeichnisfehlern sucht.
Bis auf Geräte und Drucker stehen alle 23 aufgelisteten Problembehandlungsmodule in der
Systemsteuerung zur Verfügung. Das Problembehandlungsmodul Geräte und Drucker wird
weiter unten in dieser Lektion im Abschnitt »Ausführen des Problembehandlungsmoduls
Geräte und Drucker« beschrieben.

Hinweis Problembehandlungspakete
Die Features eines Problembehandlungsmoduls sind in einem Satz Skripts definiert, dem
sogenannten Problembehandlungspaket (troubleshooting pack). Problembehandlungspakete
werden mithilfe der Windows PowerShell erstellt, einer Skriptsprache und Ausführungs-
umgebung, die für die Windows-Administration benutzt wird. Windows PowerShell ist rela-
tiv einfach zu erlernen, daher brauchen Sie kein erfahrener Programmierer zu sein, um ein
Problembehandlungspaket zu entwickeln. Die auf Ihrem System installierten Problembe-
handlungspakete können Sie sich ansehen, indem Sie in den Ordner C:\Windows\Diagnose\
System wechseln.
6 Kapitel 1: Beseitigen von Hardwarefehlern

Tabelle 1.1 Integrierte Windows 7-Problembehandlungsmodule


Problembehandlungs- Ziel der Problembehandlung Kategorie
modul
Aero Anzeigen von Aero-Effekten wie Transparenz Desktop-
darstellung
Aufzeichnen von Audio- Aufzeichnen von Audio über ein Mikrofon oder andere Sound
dateien Quellen
Drucker Funktionsfähigkeit eines Druckers sicherstellen Drucken
Eingehende Verbindungen Erlauben, dass andere Computer durch die Windows- Netzwerk
Firewall mit Ihrem Computer kommunizieren
Freigegebene Ordner Zugreifen auf freigegebene Dateien und Ordner, die auf Netzwerk
anderen Computern liegen
Geräte und Drucker Funktionsfähigkeit eines Geräts oder Druckers herstellen Gerät,
Drucken
Hardware und Geräte Verwenden von Hardware und Zugreifen auf Geräte, die Gerät
an den Computer angeschlossen sind
Heimnetzgruppe Anzeigen von Computern oder freigegebenen Dateien in Netzwerk
einer Heimnetzgruppe
Internet Explorer- Abwehren von Malware, Popups und Onlineangriffen Webbrowser
Sicherheit
Internetverbindungen Herstellen einer Verbindung mit dem Internet oder einer Netzwerk
bestimmten Website
Leistung Verbessern der Gesamtgeschwindigkeit und -leistung Leistung
des Systems
Leistung von Internet Verhindern von Problemen mit Add-Ons und Optimieren Webbrowser
Explorer von temporären Dateien und Verbindungen
Netzwerkadapter Funktionsfähigkeit von Ethernet-, Drahtlos- oder Netzwerk
anderen Netzwerkkarten sicherstellen
Programmkompatibilität Ermöglichen, dass ältere Programme unter dieser Programme
Windows-Version laufen
Stromversorgung Verlängern der Akkulaufzeit und Senken des Energie- Strom-
verbrauchs versorgung
Suche und Indizierung Suchen nach Objekten in Ihrem Computer mithilfe von Windows
Windows Search
Systemwartung Löschen unbenutzter Dateien und Verknüpfungen, System
Überprüfen von Festplattenvolumes auf Fehler und
Durchführen anderer Wartungsaufgaben
Verbinden mit einem Herstellen einer Verbindung mit dem Unternehmens- Netzwerk
Arbeitsplatz über Direct- netzwerk über das Internet
Access
Wiedergeben von Audio- Abspielen von Sounds und anderen Audiodaten, zum Sound
dateien Beispiel Musikdateien
Windows Media Player- Sicherstellen, dass Mediendateien in der Windows Medien-
Bibliothek Media Player-Bibliothek angezeigt werden wiedergabe f
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 7

Problembehandlungs- Ziel der Problembehandlung Kategorie


modul
Windows Media Player- Abspielen einer DVD mit Windows Media Player Medien-
DVD wiedergabe
Windows Media Player- Zurücksetzen des Windows Media Players auf die Medien-
Einstellungen Standardeinstellungen wiedergabe
Windows Update Funktion von Windows Update sicherstellen Windows

Ausführen der Problembehandlungsmodule in der Systemsteuerung


Die meisten der in Windows 7 integrierten Problembehandlungsmodule stehen über das
Systemsteuerungselement Problembehandlung zur Verfügung. Sie sollten sich mit diesen
Problembehandlungsmodulen der Systemsteuerung vertraut machen, bevor Sie an die
Problembehandlung gehen. Nur so wissen Sie, welches Modul Sie für ein bestimmtes
Problem brauchen. Bekommen Sie beispielsweise die Aufgabe zugewiesen, Probleme mit
einem Audiogerät zu beseitigen, hilft es Ihnen zu wissen, dass in der Systemsteuerung das
integrierte Problembehandlungsmodul Wiedergeben von Audiodateien zur Verfügung steht.
Sie greifen auf die Problembehandlungsmodule der Systemsteuerung zu, indem Sie das
Wartungscenter öffnen und auf Problembehandlung klicken (Abbildung 1.5).

Abbildung 1.5 Öffnen der Windows 7-Problembehandlungsmodule im Wartungscenter


8 Kapitel 1: Beseitigen von Hardwarefehlern

Daraufhin öffnet sich das Hauptfenster des Systemsteuerungselements Problembehandlung


(Abbildung 1.6).

Abbildung 1.6 Problembehandlung in der Systemsteuerung

Sofern Sie in diesem Fenster schon einen Link zu einem bestimmten Problembehandlungs-
modul sehen (etwa Gerät konfigurieren), das Sie ausführen wollen, brauchen Sie lediglich
den Link anzuklicken. Eine vollständige Liste aller verfügbaren Problembehandlungsmodule
erhalten Sie, wenn Sie am linken Fensterrand auf Alles anzeigen klicken; in dieser Liste sind
die Problembehandlungsmodule nicht in Kategorien untergliedert.
Stattdessen können Sie auch eine Problembehandlungskategorie auswählen. Wollen Sie bei-
spielsweise ein Problem mit einem Gerät untersuchen, können Sie auf die Kategorie Hard-
ware und Sound klicken, um die Seite Problembehandlung – Hardware und Sound zu öffnen
(Abbildung 1.7). In der Kategorie Hardware und Sound stehen in Windows 7 momentan die
Problembehandlungsmodule Wiedergeben von Audiodateien, Aufzeichnen von Audiodateien,
Hardware und Geräte, Netzwerkadapter, Drucker und Windows Media Player-DVD zur
Verfügung.
Klicken Sie in der Liste das Problembehandlungsmodul an, das Sie ausführen möchten. Wenn
Sie zum Beispiel Probleme mit einer Netzwerkkarte haben, müssen Sie auf Netzwerkadapter
klicken. Abbildung 1.8 zeigt die erste Seite des Problembehandlungsmoduls Netzwerkadap-
ter.
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 9

Abbildung 1.7 Problembehandlungsmodule für Hardware und Sound in Windows 7

Abbildung 1.8 Das Problembehandlungsmodul Netzwerkadapter

Ausführen des Problembehandlungsmoduls Geräte und Drucker


Das Problembehandlungsmodul Geräte und Drucker ist ein spezieller, einfach bedienbarer
Hardwareratgeber, der Probleme im Bereich von Druckern und Peripheriegeräten schnell
beseitigen kann.
Über den Befehl Problembehandlung steht dieses Problembehandlungsmodul ausschließlich
im Fenster Geräte und Drucker zur Verfügung, einem neuen Feature in Windows 7, das
beim Verwalten der Peripheriegeräte und Drucker des lokalen Computers hilft. Sie öffnen
Geräte und Drucker, indem Sie im Startmenü auf den Eintrag Geräte und Drucker klicken
(Abbildung 1.9).
10 Kapitel 1: Beseitigen von Hardwarefehlern

Abbildung 1.9 Öffnen von Geräte und Drucker

Abbildung 1.10 zeigt das Fenster Geräte und Drucker.

Abbildung 1.10 Das Fenster Geräte und Drucker in Windows 7


Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 11

Hinweis Arbeiten mit dem Fenster Geräte und Drucker


Eines der nützlichsten Features im Fenster Geräte und Drucker ist, dass für jedes Periphe-
riegerät individuell angepasste Kontextmenüeinträge angeboten werden. Wenn Sie beispiels-
weise mit der rechten Maustaste auf ein Mausgerät klicken und im Kontextmenü Mausein-
stellungen wählen, öffnet sich das Eigenschaftendialogfeld für das Mausgerät in der System-
steuerung. Klicken Sie dagegen mit der rechten Maustaste auf ein externes Speichergerät,
werden Befehle wie Automatische Wiedergabe, Dateien durchsuchen und Auswerfen ange-
boten. Und wenn Sie das Kontextmenü für ein Computergerät öffnen (das für den lokalen
Computer steht), erhalten Sie Zugriff auf viele weitere Einstellmöglichkeiten, etwa Netzwerk-
einstellungen, Systemeigenschaften, Region und Sprache oder Windows Update.

Sie starten das Problembehandlungsmodul Geräte und Drucker, indem Sie mit der rechten
Maustaste auf das Gerät klicken, bei dem Probleme auftreten, und im Kontextmenü den
Befehl Problembehandlung wählen (Abbildung 1.11).

Abbildung 1.11 Starten des Problembehandlungsmoduls für ein Gerät

Daraufhin wird sofort das Problembehandlungsmodul Geräte und Drucker gestartet


(Abbildung 1.12).
12 Kapitel 1: Beseitigen von Hardwarefehlern

Abbildung 1.12 Das Problembehandlungsmodul Geräte und


Drucker wird in der Standardeinstellung sofort gestartet

Verwenden von Hardwareratgebern


Problembehandlungsmodule suchen üblicherweise nach Fehlern und geben Ihnen dann
Gelegenheit, gefundene Fehler zu beseitigen. Die letzte Seite des Assistenten enthält eine
Zusammenfassung der Ergebnisse, die im Rahmen der Fehlersuche gefunden wurden.
Die Problembehandlungsmodule erkennen in erster Linie Konfigurationsfehler, keine Hard-
warefehler. Dennoch können Sie ein Problembehandlungsmodul einsetzen, um festzustellen,
ob das Problem mit einem Gerät durch die Hardware verursacht wird.

Abbildung 1.13 Problembehandlungsmodule schlagen oft


Lösungsmöglichkeiten für erkannte Probleme vor

Wenn Sie beispielsweise eine Problembehandlung für ein Gerät durchführen, decken die
Hardware- und Geräteproblembehandlungsmodule unter Umständen auf, dass ein geeigneter
Treiber installiert werden muss. Abbildung 1.13 zeigt ein Beispiel. Dieses Ergebnis deutet
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 13

darauf hin, dass die Probleme, die beim Gerät auftreten, durch die Softwarekonfiguration
verursacht werden, nicht durch die Hardware selbst.
Erkennt ein Problembehandlungsmodul aber ein Problem, über das es keine weiteren Infor-
mationen liefern kann (Abbildung 1.14), deutet das in vielen Fällen darauf hin, dass das
Gerät selbst defekt ist. In diesem Fall können Sie andere Diagnosemöglichkeiten nutzen, die
vom Gerätehersteller zur Verfügung gestellt werden, um die Funktion des Hardwaregeräts
genauer zu untersuchen.

Abbildung 1.14 Nicht genauer erläuterte Fehler erfordern eine tiefer gehende Problembehandlung

Konfigurieren der Einstellungen für Problembehandlungsmodule


Wenn Sie im Hauptfenster des Systemsteuerungselements Problembehandlung auf den Link
Einstellungen ändern klicken, öffnet sich die Seite Problembehandlungseinstellungen
ändern.

Abbildung 1.15 Ändern der Einstellungen für Problembehandlungsmodule


14 Kapitel 1: Beseitigen von Hardwarefehlern

Abbildung 1.16 zeigt die Seite Problembehandlungseinstellungen ändern.

Abbildung 1.16 Konfigurieren der Problembehandlungsmodule

Auf der Seite Problembehandlungseinstellungen ändern können Sie drei Einstellungen


ändern, die sich auf die Problembehandlungsmodule auswirken.
„ Das System wird auf Probleme bei der Routinewartung überprüft. Sie werden benach-
richtigt, wenn die Problembehandlung für die Systemwartung zum Beheben von Proble-
men verwendet werden kann.
In der Standardeinstellung sind die Routineprüfungen aktiviert (Option Ein). Diese Ein-
stellung ist für die Diagnose von Hardwareproblemen (besonders von Festplattenpro-
blemen) wichtig, weil das Problembehandlungsmodul Systemwartung Sie warnen kann,
sobald es bestimmte Probleme bei der Festplattenhardware erkennt.
„ Benutzern das Suchen nach Problembehandlungen im Windows-Onlinedienst für Pro-
blembehandlung gestatten
Dieses Kontrollkästchen ist in der Standardeinstellung aktiviert. Falls die Liste der ver-
fügbaren Problembehandlungsmodule bei Ihren Benutzern im Lauf der Zeit nicht länger
wird, sollten Sie sicherstellen, dass diese Einstellung aktiviert ist.
„ Umgehenden Beginn der Problembehandlung nach dem Start zulassen
Diese Einstellung wirkt sich nur auf die Problembehandlung in Geräte und Drucker aus.
Sie legt fest, ob dieses Problembehandlungsmodul die Startseite des Assistenten über-
springt, wenn der Befehl gewählt wurde. In der Standardeinstellung ist dieses Kontroll-
kästchen aktiviert.
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 15

Schnelltest
Ein Mausgerät scheint nicht zu funktionieren. Welches ist die schnellste Methode, um ein
Problembehandlungsmodul für die Maus zu starten?
Antwort zum Schnelltest
Öffnen Sie Geräte und Drucker, klicken Sie mit der rechten Maustaste auf das Mausgerät
und wählen Sie im Kontextmenü den Befehl Problembehandlung.

Behandeln von Problemen im Geräte-Manager


Ist keines der Problembehandlungsmodule in der Lage, ein Hardwareproblem automatisch
zu reparieren, sollten Sie den Geräte-Manager öffnen, um weitere Informationen zu erhalten.
Der Geräte-Manager ist ein nützliches Tool, um festzustellen, ob irgendwelche der an das
System angeschlossenen Geräte nicht richtig funktionieren.
Gehen Sie folgendermaßen vor, um nicht funktionsfähige Hardwaregeräte im Geräte-Mana-
ger anzuzeigen:
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den
Befehl Verwalten.
2. Klicken Sie unter System auf Geräte-Manager.
3. Der Geräte-Manager zeigt alle lokal angeschlossenen Geräte an. Geräte, bei denen Pro-
bleme auftreten (dazu gehören alle Geräte, mit denen Windows 7 nicht kommunizieren
kann), werden mit einem Warnsymbol angezeigt (Abbildung 1.17). Falls keine Katego-
riezweige aufgeklappt und keine Geräte sichtbar sind, hat Windows keine Probleme mit
irgendwelchen Geräten erkannt.

Abbildung 1.17 In der Computerverwaltung haben Sie


Zugriff auf den Geräte-Manager
16 Kapitel 1: Beseitigen von Hardwarefehlern

Falls der Geräte-Manager ein Problem mit einem Gerät erkennt, sollten Sie mit der rechten
Maustaste auf dieses Gerät klicken und sein Eigenschaftendialogfeld öffnen. Das Eigen-
schaftendialogfeld für das Gerät, für das in Abbildung 1.17 ein Problem gemeldet wurde,
sehen Sie in Abbildung 1.18.

Abbildung 1.18 Öffnen Sie das Eigenschaftendialogfeld


für Geräte, zu denen der Geräte-Manager ein Problem meldet

Abbildung 1.19 Auf der Registerkarte Treiber


eines Geräts können Sie seine Treiber aktualisieren
oder die Vorversion wiederherstellen

Häufige Ursache für Hardwareprobleme sind fehlerhafte Treiber. Sofern die Registerkarte
Allgemein des Eigenschaftendialogfelds ein Problem mit einem Gerätetreiber meldet, sollten
Sie die Registerkarte Treiber anklicken (Abbildung 1.19). Auf dieser Registerkarte haben Sie
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 17

die Möglichkeit, den Treiber zu aktualisieren oder die vorher installierte Version wiederherzu-
stellen.
Die vorherige Version des Treibers wiederherzustellen ist sinnvoll, wenn das Gerät vor der
letzten Aktualisierung funktioniert hat. Sofern auch der vorher installierte Treiber nicht funk-
tioniert hat oder noch nie ein älterer Treiber installiert war, sollten Sie den Treiber aktuali-
sieren. Beachten Sie aber, dass Sie einen Treiber üblicherweise dadurch aktualisieren, dass
Sie das neueste Treiberinstallationsprogramm von der Website des Geräteherstellers herunter-
laden und ausführen. Die Schaltfläche Treiber aktualisieren sollten Sie nur verwenden, wenn
kein Installationsprogramm für einen funktionierenden Treiber zur Verfügung steht.
Wenn der Geräte-Manager ein Problem mit einem Gerät meldet, aber keine konkreten Infor-
mationen über das Problem liefert, erhöht sich die Wahrscheinlichkeit, dass es sich tatsäch-
lich um einen Hardwaredefekt handelt.

Behandeln von Problemen mit der Zuverlässigkeitsüberwachung


Die Zuverlässigkeitsüberwachung ist ein Tool, das die Stabilität eines Systems über einen
längeren Zeitraum hinweg misst. In Windows 7 öffnen Sie die Zuverlässigkeitsüberwachung
über das Wartungscenter. Erweitern Sie den Abschnitt Wartung und klicken Sie auf Zuver-
lässigkeitsverlauf anzeigen (Abbildung 1.20).

Abbildung 1.20 Öffnen der Zuverlässigkeitsüberwachung im Wartungscenter

Abbildung 1.21 zeigt die Zuverlässigkeitsüberwachung.


Die Zuverlässigkeitsüberwachung zeigt ein Diagramm für die Zuverlässigkeit des lokalen
Computers im Verlauf der letzten 20 Tage oder 20 Wochen. Die Stabilität des Systems wird
als Wert von 1 (geringe Stabilität) bis 10 (hohe Stabilität) gemessen und als blaue Linie über
den gewählten Zeitraum angezeigt.
18 Kapitel 1: Beseitigen von Hardwarefehlern

Abbildung 1.21 Zuverlässigkeitsüberwachung

Um die Stabilität eines Systems zu bewerten, verfolgt die Zuverlässigkeitsüberwachung fünf


Ereigniskategorien:
„ Anwendungsfehler
„ Windows-Fehler
„ Verschiedene Fehler
„ Warnungen
„ Informationen
Im Abschnitt Zuverlässigkeitsdetails liefert die Zuverlässigkeitsüberwachung genauere Infor-
mationen über die aufgezeichneten Ereignisse. Tritt in einer der überwachten Kategorien ein
kritisches Ereignis auf, sinkt die Bewertung des Systems für den entsprechenden Zeitraum
(Tag oder Woche).

Diagnostizieren von Hardwarefehlern mit der Zuverlässigkeitsüberwachung


Die Zuverlässigkeitsüberwachung sammelt Daten über die Softwarefehler, die in letzter Zeit
im System aufgetreten sind. Weil Hardwarefehler letztlich Softwarefehler auslösen, sind
diese Informationen auch dann wichtig, wenn Sie eine Problembehandlung für Systemfehler
durchführen, bei denen sich letztlich herausstellt, dass sie durch Hardwaredefekte verursacht
wurden.
Bei jeder Problembehandlung sollten Sie daher in der Zuverlässigkeitsüberwachung prüfen,
ob Windows relevante Informationen über den zeitlichen Verlauf des Problems aufgezeichnet
hat. Suchen Sie vor allem nach kritischen Ereignissen in der Kategorie Windows-Fehler.
Klagt ein Benutzer zum Beispiel, dass Windows abstürzt, könnte sich herausstellen, dass
dieses Problem erst seit dem Zeitpunkt auftritt, zu dem eine bekannte Änderung am System
vorgenommen wurde. Abstürze, die nur ganz selten auftreten, haben möglicherweise mit
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 19

einer bestimmten Anwendung zu tun und werden nicht durch ein hardwarespezifisches Pro-
blem ausgelöst. Treten Abstürze in Phasen mit intensiven Lese- oder Schreibaktivitäten auf
(etwa während einer Datensicherung), haben sie es unter Umständen mit einem fehlerhaften
Festplattenlaufwerk zu tun.
Die Zuverlässigkeitsüberwachung liefert zwar oft nützliche Informationen für die Problem-
behandlung, Sie müssen aber auch die Grenzen der Zuverlässigkeitsüberwachung als Diag-
nosetool kennen. Die Zuverlässigkeitsüberwachung kann durchaus für die Diagnose von
Hardwarefehlern eingesetzt werden, aber sie ist nur bei den Hardwarefehlern von Nutzen,
die auch von Windows aufgezeichnet werden können. Zum Beispiel kann die Zuverlässig-
keitsüberwachung Ihnen helfen, Speicherfehler aufzudecken, die wiederholt Abbruchfehler
auslösen. Dagegen können Hardwarefehler, die auftreten, bevor Windows überhaupt startet,
natürlich nicht mit der Zuverlässigkeitsüberwachung untersucht werden.
Betrachten Sie die Zuverlässigkeitsüberwachung daher als nützliches Werkzeug innerhalb
der Windows-Diagnosetools, die Ihnen zur Verfügung stehen, wenn Sie die Ursache eines
Systemfehlers aufdecken müssen.

Behandeln von Problemen mit der Ereignisanzeige


Die Ereignisanzeige listet Ereignisse auf, die von Windows und anderen Anwendungen in
die Ereignisprotokolle geschrieben werden. Auf den meisten Computern enthält die Ereignis-
anzeige Tausende von Ereignissen, von denen Sie die meisten einfach ignorieren können.
Bei einer Problembehandlung sollten Sie sich aber das Ereignisprotokoll ansehen und nach
Ereignissen suchen, die möglicherweise die Ursache des Problems aufdecken, das Sie unter-
suchen. Denken Sie aber daran, dass nicht alle Probleme ein Ereignis generieren. Aus diesem
Grund ist es möglich, dass Sie überhaupt keine Ereignisse zu dem Problem finden, das Sie
untersuchen.
Gehen Sie folgendermaßen vor, um die Ereignisanzeige zu öffnen und sich Ereignisse anzu-
sehen, die mit der Hardware zu tun haben:
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den
Befehl Verwalten.
2. Erweitern Sie unter System den Knoten Ereignisanzeige.
3. Erweitern Sie unter Ereignisanzeige den Knoten Windows-Protokolle und klicken Sie
auf System.
4. Klicken Sie im Fensterabschnitt Aktionen auf Aktuelles Protokoll filtern.
5. Aktivieren Sie im Dialogfeld Aktuelles Protokoll filtern die Kontrollkästchen Kritisch
und Fehler und klicken Sie auf OK.
Anschließend listet die Ereignisanzeige nur kritische Ereignisse und Fehler auf (Abbil-
dung 1.22).
Weitere Informationen zur Problembehandlung mit der Ereignisanzeige finden Sie in
Kapitel 8, »Leistung«, und Kapitel 9, »Beseitigen von Softwareproblemen«.
20 Kapitel 1: Beseitigen von Hardwarefehlern

Abbildung 1.22 Ereignisanzeige

Gehen Sie die gefilterte Liste der Ereignisse durch. Sehen Sie sich insbesondere Ereignisse
genau an, als deren Quelle die Hardwarekomponente angegeben ist, bei der das Problem
auftritt. Wenn Sie beispielsweise Festplattenfehler untersuchen, sollten Sie nach Fehlern im
Bereich der Systemdatenträger Ausschau halten. Wurden solche Ereignisse aufgezeichnet,
sind sie bei der Diagnose Ihres Problems wahrscheinlich sehr hilfreich.

Praxistipp
J.C. Mackin
Machen Sie sich keine Sorgen, wenn Sie viele der Ereignisprotokollmeldungen, die in der
Ereignisanzeige aufgelistet werden, nicht verstehen. Finden Sie einen kritischen Fehler
im Ereignisprotokoll, den Sie nicht verstehen, können Sie einfach die Ereignis-ID und
-Nachricht kopieren und dann anhand dieser Daten online nach weiteren Informationen
dazu suchen.
Wenn Sie eine Ereignisprotokollnachricht recherchieren, sollten Sie unbedingt die Infor-
mationen auf den Microsoft-Sites wie http://technet.microsoft.com und http://support.
microsoft.com lesen. Es gibt aber noch weitere Sites, auf denen Sie Informationen zu Er-
eignis-IDs finden. Eine besonders nützliche Site ist http://eventid.net, wo Administratoren
ihr Wissen zu bestimmten Ereignis-IDs sammeln.

Behandeln von Startfehlern mit der Systemstartreparatur


Sind Festplatte, Motherboard oder ein RAM-Modul defekt, verhindert das den Start des Sys-
tems. Die Ursache kann aber auch lediglich eine fehlerhafte Festplattenkonfiguration sein.
Wenn Sie eine Problembehandlung für ein System durchführen, das nicht startet, sollten Sie
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 21

zuerst versuchen, Fehler im Bereich von Softwarekonfiguration oder Datenbeschädigung auf


der Festplatte als Ursache ausschließen.
Die Systemstartreparatur erkennt und repariert viele Festplattenfehler automatisch, die den
Start von Windows verhindern. Die Systemstartreparatur analysiert zuerst die Startsektoren,
den Start-Manager, die Festplattenkonfiguration, die Festplattenintegrität, die BCD-Regis-
trierungsdatei (Boot Configuration Data), die Systemdateien, die Startprotokolle und die
Ereignisprotokolle. Dann versucht sie, alle aufgedeckten Probleme zu beseitigen. Im Rahmen
dieses Reparaturvorgangs werden bei Bedarf Konfigurationsdateien bearbeitet, einfache
Laufwerksprobleme beseitigt, fehlende Systemdateien ersetzt oder eine Systemwiederher-
stellung ausgeführt, um den Computer auf einen früheren Zustand zurückzusetzen. Weil die
Systemstartreparatur diese Aufgaben automatisch ausführt, können Sie Startprobleme mit
diesem Tool viel schneller beseitigen als bei einer manuellen Analyse und Reparatur.
Die Systemstartreparatur hilft Ihnen bei der detaillierten Diagnose von Hardwarefehlern,
weil sie häufig auftretende Softwarekonfigurationsfehler auf Startdatenträgern (normaler-
weise Festplatten) beseitigt. Gelingt es der Systemstartreparatur nicht, ein Windows-Start-
problem zu beseitigen, können Sie die Datenträgerkonfiguration üblicherweise von der Liste
potenzieller Fehlerursachen streichen. Anschließend können Sie sich auf andere mögliche
Ursachen konzentrieren, beispielsweise Festplattenpartitionierungsprogramme anderer Her-
steller, Hardwaredefekte bei Laufwerken, falsch konfiguriertes BIOS (Basic Input/Output
System), defekter Arbeitsspeicher oder ein defektes Motherboard.

Abbildung 1.23 Öffnen der Windows-Wiederherstellungsumgebung über das


Menü Erweiterte Startoptionen
22 Kapitel 1: Beseitigen von Hardwarefehlern

Starten der Systemstartreparatur


Sie starten die Systemstartreparatur über die Windows-Wiederherstellungsumgebung und die
zugehörigen Systemwiederherstellungsoptionen, die das Windows 7-Setupprogramm auto-
matisch auf dem Startdatenträger installiert. Die Windows-Wiederherstellungsumgebung ist
ein schlankes Betriebssystem, mit dem Sie Windows-Probleme beseitigen können, ohne dass
das Hauptbetriebssystem läuft. Sie öffnen die Windows-Wiederherstellungsumgebung, indem
Sie die Taste F8 drücken, während der Computer startet. Daraufhin öffnet sich das Menü
Erweiterte Startoptionen. Wählen Sie nun die Option Computer reparieren (Abbildung 1.23).
Sollte das Startproblem, das Sie untersuchen, den Zugriff auf das Menü Erweiterte Startop-
tionen verhindern, erreichen Sie die Windows-Wiederherstellungsumgebung und die System-
wiederherstellungsoptionen, indem Sie von der Windows 7-DVD starten. Bei dieser Methode
öffnet sich der Windows-Installationsassistent. Wählen Sie Ihre Sprache, klicken Sie auf
Weiter und dann auf der zweiten Seite des Windows-Installationsassistenten auf Computer-
reparaturoptionen (Abbildung 1.24).

Abbildung 1.24 Öffnen der Windows-Wiederherstellungsumgebung


über die Windows 7-DVD

Bei beiden Methoden, die Windows-Wiederherstellungsumgebung zu starten, wird anschlie-


ßend die erste Seite des Assistenten Systemwiederherstellungsoptionen angezeigt. In Abbil-
dung 1.25 sehen Sie die Variante, die erscheint, wenn Sie von der Windows 7-DVD starten.
Haben Sie stattdessen im Menü Erweiterte Startoptionen den Eintrag Computer reparieren
ausgewählt, werden Sie zuerst aufgefordert, eine Sprache auszuwählen; auf einer zweiten
Seite müssen Sie dann die Anmeldeinformationen eines lokalen Benutzers eingeben.
Die letzte Seite im Assistenten Systemwiederherstellungsoptionen ist bei allen Versionen
dieselbe: Sie heißt Wählen Sie ein Wiederherstellungstool aus. Wählen Sie den entsprechen-
den Eintrag, um das Systemstartreparaturtool zu starten (Abbildung 1.26).
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 23

Abbildung 1.25 Öffnen der Systemwiederherstellungsoptionen

Abbildung 1.26 Auswählen des Systemstartreparaturtools

Abbildung 1.27 zeigt die Systemstartreparatur bei der Ausführung. Es führt in dieser Phase
folgende Tests aus:
„ Suchen nach Updates
„ Testen des Systemdatenträgers
„ Datenträgerfehlerdiagnose
„ Überprüfen der Datenträgermetadaten
„ Prüfen des Zielbetriebssystems
„ Prüfen des Volumeinhalts
„ Diagnose des Start-Managers
„ Diagnose des Systemstartprotokolls
„ Diagnose der Ereignisprotokolle
„ Prüfen des internen Status
„ Prüfen des Systemstartstatus
24 Kapitel 1: Beseitigen von Hardwarefehlern

Abbildung 1.27 Das Tool Systemstartreparatur

Sobald die Systemstartreparatur diese Tests abgeschlossen und den Datenträger repariert hat,
zeigt sie die Diagnose der Systemstartfehler an.
Findet die Systemstartreparatur keine Fehler, können Sie sich bei Ihrer Problembehandlung
anderen Systemkomponenten zuwenden, etwa dem Hardware-RAM oder der Festplatten-
hardware.

Untersuchen von RAM-Fehlern mit der Windows-Speicherdiagnose


Defekte im RAM, das in einem Computer eingebaut ist, sind häufig die Ursache für System-
fehler. Arbeitsspeicherprobleme können verhindern, dass Windows überhaupt startet, aber
auch unvorhersagbare Abbruchfehler auslösen, während Windows läuft. Probleme im Be-
reich des Arbeitsspeichers lösen oft sporadische Fehler aus. Ohne ein spezielles Diagnose-
programm sind sie schwierig zu diagnostizieren. Für den Fall, dass Sie Arbeitsspeicherde-
fekte als Ursache für ein Computerproblem im Verdacht haben, steht Ihnen in Windows 7
ein spezielles Diagnosedienstprogramm zur Verfügung, um den Arbeitsspeicher Ihres Com-
puters zu testen: die Windows-Speicherdiagnose.
Die Windows-Speicherdiagnose muss ausgeführt werden, während das Betriebssystem nicht
läuft, aber es stehen mehrere Wege zur Verfügung, das Tool auf einem System zu starten, das
unter Windows 7 läuft. In der Windows-Benutzeroberfläche können Sie die Ausführung des
Tools planen, sodass es beim nächsten Systemstart ausgeführt wird. Sie können das Tool
auch über das Menü des Windows-Start-Managers oder die Systemwiederherstellungs-
optionen starten. Alle drei Methoden werden im folgenden Abschnitt beschrieben.

Planen der Windows-Speicherdiagnose für den nächsten Systemstart


Sie können das Windows-Speicherdiagnosetool zwar nicht ausführen, während Windows
läuft, aber Sie können die Aufgabenplanung von Windows so konfigurieren, dass das Dienst-
programm automatisch ausgeführt wird, sobald das System das nächste Mal startet. Klicken
Sie dazu im Menü Verwaltung auf Windows-Speicherdiagnose. Stattdessen können Sie auch
im Suchfeld des Startmenüs mdsched eingeben, Mdsched aus der Programmliste auswählen
und die EINGABETASTE drücken. Bei beiden Methoden wird das Fenster Windows-Spei-
cherdiagnose geöffnet (Abbildung 1.28).
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 25

Abbildung 1.28 Festlegen, wann die Windows-Speicherdiagnose ausgeführt wird

In diesem Fenster können Sie auswählen, ob der Computer sofort neu gestartet und der Ar-
beitsspeicher getestet wird oder ob dies erledigt wird, sobald Sie den Computer das nächste
Mal starten.

Starten der Windows-Speicherdiagnose im Windows-Start-Manager


Wenn Sie die Speicherdiagnose ausführen wollen, Windows aber noch nicht läuft, können
Sie das Windows-Speicherdiagnosetool im Windows-Start-Manager auswählen.
Der Windows-Start-Manager ist ein Feature, mit dem Sie ein Betriebssystem auswählen,
sofern mehrere auf dem lokalen Computer installiert sind. Wenn Sie nur ein Betriebssystem
installiert haben, erscheint der Windows-Start-Manager normalerweise nicht. Sie können
aber erzwingen, dass der Windows-Start-Manager angezeigt wird, indem Sie beim Start des
Systems wiederholt die LEERTASTE drücken.

Abbildung 1.29 Starten der Windows-Speicherdiagnose im Windows-Start-Manager


26 Kapitel 1: Beseitigen von Hardwarefehlern

Warten Sie, bis der Windows-Start-Manager erscheint, und drücken Sie dann die TABU-
LATORTASTE , um statt Windows 7 den Eintrag Windows-Speicherdiagnose auszuwählen
(Abbildung 1.29). Drücken Sie nun die Eingabetaste, um das Diagnosetool auszuführen.

Starten der Windows-Speicherdiagnose in den Systemwiederherstellungsoptionen


Die dritte Möglichkeit, das Windows-Speicherdiagnosetool zu starten, führt über die System-
wiederherstellungsoptionen. Wie Systemstartreparatur steht auch Windows-Speicherdiagnose
als Option auf der Seite Wählen Sie ein Wiederherstellungstool aus zur Verfügung (Abbil-
dung 1.30).

Abbildung 1.30 Auswählen des Tools Windows-Speicherdiagnose

Abbildung 1.31 Die Windows-Speicherdiagnose führt in der Standardeinstellung


zwei Durchläufe aus
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 27

Ausführen der Windows-Speicherdiagnose


Unabhängig davon, auf welchem Weg Sie die Windows-Speicherdiagnose starten, beginnt
das Tool sofort nach dem Start damit, den Arbeitsspeicher zu testen (Abbildung 1.31).
Mit der Taste F1 öffnen Sie die Seite Windows-Arbeitsspeicherdiagnosetool – Optionen
(Abbildung 1.32).

Abbildung 1.32 Optionen für die Windows-Speicherdiagnose

Auf dieser Seite haben Sie die Auswahl zwischen drei Teststufen: Minimal, Standard und
Erweitert. Normalerweise wird die Einstellung Standard verwendet; sie führt 8 Testarten
aus. Minimal führt dagegen nur 3 Arten von Speichertests aus, die Einstellung Erweitert 17.
Bei allen Stufen werden die Tests in der Standardeinstellung zweimal durchlaufen. Sie kön-
nen stattdessen eine beliebige Zahl von Durchläufen von 1 bis 99 einstellen.

Praxistipp
J.C. Mackin
Es ist verlockend zu glauben, dass Sie lediglich die Windows-Speicherdiagnose in ihren
Standardeinstellungen auszuführen brauchen, um herauszufinden, ob ein RAM-Modul
ersetzt werden muss. In Wirklichkeit kommt es durchaus vor, dass ein einzelner Schalt-
kreis, der im RAM Daten speichert, nur kurzzeitig Fehler produziert. Selten auftretende
Fehler im Hardware-RAM können sporadische Abbruchfehler auslösen, ohne dass ober-
flächliche Diagnosetests die Fehler aufdecken.
Die Standardeinstellungen der Windows-Speicherdiagnose eignen sich für eine Routine-
wartung. Aber wenn bei einem Computer aus unerfindlichen Gründen Abbruchfehler auf-
treten, sollten Sie gründlichere Tests ausführen, die viele Stunden laufen. Denken Sie auch
daran, dass die Tests umso gründlicher sein müssen, je seltener die Fehler auftreten.
28 Kapitel 1: Beseitigen von Hardwarefehlern

Sobald die Windows-Speicherdiagnose ihre Tests abgeschlossen hat, wird Windows gestartet.
Auf dem Desktop zeigt Windows eine Benachrichtigung mit den Testergebnissen an (Abbil-
dung 1.33). Die zugehörigen Ereignisse finden Sie im Systemereignisprotokoll unter der
Quelle MemoryDiagnosticsResults (Ereignis-ID 1201).

Abbildung 1.33 Eine Benachrichtigungsmeldung


für die Windows-Speicherdiagnose

Falls Sie einen Speicherfehler gefunden haben, müssen Sie das betroffene RAM-Modul un-
bedingt austauschen. Wenn der Computer mehrere RAM-Module hat und Sie nicht sicher
sind, welches Modul oder welche Module defekt sind, sollten Sie bis auf eines alle Module
entfernen. Führen Sie dann erneut die Windows-Speicherdiagnose aus, um zu prüfen, ob das
Modul einen Defekt hat. Bauen Sie dieses Modul anschließend aus, setzen Sie das zweite
ein und starten Sie wieder die Windows-Speicherdiagnose. Wiederholen Sie diesen Vorgang
für alle RAM-Module des Computers, bis Sie alle defekten Module gefunden haben.
Treten nach dem Austausch des RAMs weiterhin Probleme auf, hat das Problem wahrschein-
lich eine andere Ursache. Zum Beispiel können hohe Temperaturen (Notebooks sind dafür
besonders anfällig) dazu führen, dass RAM unzuverlässig wird. Die Computerhersteller
wählen zwar üblicherweise Arbeitsspeicher aus, der auch bei höheren Temperaturen keine
Probleme verursacht, aber wenn RAM-Module anderer Hersteller nachgerüstet wurden,
erfüllen sie unter Umständen nicht dieselben Spezifikationen und verursachen Fehler. Neben
Wärme sind auch elektrische Störungen durch andere Komponenten innerhalb des Computers
eine mögliche Fehlerquelle. Und schließlich sollten Sie daran denken, dass Defekte bei
Motherboard oder Prozessor gelegentlich zu Fehlern bei der Kommunikation mit dem
Arbeitsspeicher führen, was dann wie ein RAM-Defekt aussieht.

Behandeln von Festplattenproblemen mit Chkdsk


Chkdsk ist ein Tool, das automatisch nach Problemen bei Datenträgervolumes sucht und sie
repariert. Dazu gehören fehlerhafte Sektoren, verlorene Cluster, querverbundene Dateien
und Verzeichnisfehler. Sie können Chkdsk entweder in Windows oder eigenständig aus-
führen, aber wenn Sie das Systemvolume prüfen wollen, müssen Sie das Tool ausführen,
während Windows nicht läuft. In diesem Fall können Sie die Ausführung des Tools so pla-
nen, dass es beim nächsten Windows-Start läuft (wie bei der Windows-Speicherdiagnose).

Hinweis Problembehandlung mit Chkdsk


Festplattenfehler sind eine häufige Ursache für Softwareprobleme. Beispielsweise können
beschädigte Sektoren auf einer Festplatte zu Abbruchfehlern, einfrierenden Systemen oder
anderen Fehlern führen. Wenn Sie Probleme untersuchen, die vermutlich nicht auf eine kürz-
liche Systemänderung zurückzuführen sind, sollten Sie Ihre Datenträger immer mit Chkdsk
auf Fehler untersuchen.
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 29

Der Name Chkdsk leitet sich aus dem Namen der Befehlszeilenversion des Tools ab, aber
Sie können Chkdsk auch über die grafische Benutzeroberfläche starten. Öffnen Sie dazu die
Eigenschaften des Volumes, das Sie überprüfen wollen, und klicken Sie auf die Registerkarte
Tools. Klicken Sie dort auf die Schaltfläche Jetzt prüfen (Abbildung 1.34).

Abbildung 1.34 Ausführen von Chkdsk in Windows

Daraufhin öffnet sich das Dialogfeld Datenträger überprüfen (Abbildung 1.35). Hier legen
Sie fest, ob sowohl Dateisystemfehler als auch fehlerhafte Sektoren repariert werden oder
nur Dateisystemfehler. Klicken Sie auf Starten, wenn Sie die gewünschten Einstellungen
gewählt haben.

Abbildung 1.35 Optionen für Chkdsk

Sofern Sie das Systemvolume ausgewählt haben, erhalten Sie die Meldung aus Abbil-
dung 1.36. Sie werden darin informiert, dass die Festplatte auf Fehler überprüft wird,
sobald Sie Ihren Computer zum nächsten Mal starten.
30 Kapitel 1: Beseitigen von Hardwarefehlern

Abbildung 1.36 Planen der Ausführung von Chkdsk

Schnelltest
In welchem Fall müssen Sie Chkdsk offline ausführen?
Antwort zum Schnelltest
Wenn die Festplatte, die Sie überprüfen, der Systemdatenträger ist.

Behandeln von Festplattenproblemen mit der Defragmentierung


Unter Fragmentierung versteht man die immer stärkere Zerteilung der Daten auf einer Fest-
platte, sodass zusammengehörige Daten nach längerer Zeit nicht mehr in einem Stück unmit-
telbar hintereinander liegen, sondern in kleineren Fragmenten über die gesamte Festplatte
verteilt sind. Weil die Festplattenfragmentierung Ihren Computer langsamer macht, sollten
Sie die Festplatten regelmäßig defragmentieren. Bei der Defragmentierung werden fragmen-
tierte Daten so umsortiert, dass der Festplattenzugriff wieder effizienter abläuft. Die Defrag-
mentierung wird in Windows 7 automatisch nach einem eingestellten Zeitplan ausgeführt
(jeden Mittwoch um 1 Uhr nachts), aber Sie können Ihre Festplatten auch von Hand analy-
sieren und defragmentieren.
Gehen Sie folgendermaßen vor, um die Defragmentierung von Hand zu starten:
1. Geben Sie Sie im Suchfeld des Startmenüs Defragmentierung ein und drücken Sie die
EINGABETASTE , sobald der Eintrag Defragmentierung in der Programmliste ausge-
wählt ist.
Daraufhin öffnet sich das Fenster Defragmentierung.
2. Wählen Sie im Feld Aktueller Status die Festplatte aus, die Sie defragmentieren wollen.
3. Klicken Sie auf Datenträger analysieren, um festzustellen, ob die Festplatte defragmen-
tiert werden muss.
4. Sobald Windows mit der Analyse der Festplatte fertig ist, wird der Prozentsatz der Frag-
mentierung in der Spalte Zuletzt ausgeführt aufgelistet. Sofern die Zahl 10% übersteigt,
sollten Sie die Festplatte defragmentieren.
5. Klicken Sie auf Datenträger defragmentieren, um die Festplatte zu defragmentieren.
Die Defragmentierung kann von wenigen Minuten bis zu mehreren Stunden dauern,
abhängig von Größe und Fragmentierungsgrad der Festplatte. Sie können Ihren Com-
puter weiter benutzen, während der Defragmentierungsvorgang läuft.
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 31

Prüfungstipp
Die Defragmentierung wird in den Standardeinstellungen von Windows 7 automatisch aus-
geführt.

Übung Problembehandlung in Windows 7


In dieser Übung führen Sie ein Problembehandlungsmodul in Windows 7 aus und sehen sich
das Skript an, das dieses Problembehandlungsmodul steuert. Dann führen Sie das System-
startreparaturtool aus und sehen sich die Ergebnisse an.

Übung 1 Ausführen eines Windows 7-Problembehandlungsmoduls


In dieser Übung führen Sie das Problembehandlungsmodul Wiedergeben von Audiodateien
aus. Dann wechseln Sie in den Ordner C:\Windows\Diagnostics\System und sehen sich den
Inhalt des Windows PowerShell-Skripts an, das das Problembehandlungspaket für dieses
Problembehandlungsmodul bildet.
1. Melden Sie sich als Administrator an einem Windows 7-Computer an.
2. Öffnen Sie die Systemsteuerung und klicken Sie auf System und Sicherheit.
3. Klicken Sie in der Kategorie Wartungscenter auf Problembehandlung für allgemeine
Computerprobleme (gemeint sind häufiger vorkommende Computerprobleme).
4. Klicken Sie auf der Seite Computerprobleme behandeln auf Hardware und Sound.
5. Klicken Sie auf der Seite Problembehandlung – Hardware und Sound auf Wiedergeben
von Audiodateien.
Daraufhin öffnet sich die erste Seite des Problembehandlungsmoduls Wiedergeben von
Audiodateien.
6. Klicken Sie auf Erweitert.
Das Kontrollkästchen Reparaturen automatisch anwenden ist in der Standardeinstellung
aktiviert.
7. Klicken Sie auf Weiter.
8. Der Assistent Wiedergeben von Audiodateien sucht nach Problemen und versucht, ge-
fundene Probleme zu beseitigen.
9. Warten Sie, bis der Assistent fertig ist, und klicken Sie dann auf Ausführliche Informa-
tionen anzeigen.
10. Lesen Sie sich den Problembehandlungsbericht durch.
11. Klicken Sie auf Weiter und dann auf Schließen.
12. Wechseln Sie im Windows-Explorer zum Ordner C:\Windows\Diagnostics\System.
Dieser Ordner enthält die lokal installierten Problembehandlungspakete, die steuern,
welche Problembehandlungsmodule im System zur Verfügung stehen.
13. Öffnen Sie den Ordner Audio.
Dieser Ordner enthält die Windows PowerShell-Skripts, die ausgeführt werden, wenn
Sie das Problembehandlungsmodul Wiedergeben von Audiodateien starten.
32 Kapitel 1: Beseitigen von Hardwarefehlern

14. Sehen Sie sich an, welche Windows PowerShell-Skripts in diesem Ordner vorhanden
sind.
Die Skripts werden benutzt, um sehr detaillierte Konfigurations- und Statusdaten vom
lokalen System abzurufen.
15. Schließen Sie alle offenen Fenster.

Übung 2 Ausführen der Systemstartreparatur


In dieser Übung starten Sie den Computer und öffnen das Menü Erweiterte Startoptionen
mit der Taste F8 . In diesem Menü wählen Sie die Option Computer reparieren aus. In der
Windows-Wiederherstellungsumgebung, die daraufhin geöffnet wird, führen Sie den Assis-
tenten Systemwiederherstellungsoptionen aus und wählen das Tool Systemstartreparatur.
1. Starten Sie Ihren Windows 7-Computer neu, sofern er bereits läuft, andernfalls schalten
Sie ihn ein.
2. Drücken Sie die Taste F8 , sobald der Computer startet, und halten Sie die Taste gedrückt.
Das Menü Erweiterte Startoptionen erscheint.
3. Stellen Sie sicher, dass Computer reparieren ausgewählt ist, und drücken Sie die
EINGABETASTE .
Die erste Seite des Assistenten Systemwiederherstellungsoptionen erscheint.
4. Stellen Sie sicher, dass in der Dropdownliste Wählen Sie eine Tastatureingabemethode
aus Ihre gewünschte Tastatureingabemethode ausgewählt ist, und klicken Sie auf Weiter.
5. Geben Sie auf der zweiten Seite des Assistenten Systemwiederherstellungsoptionen die
Anmeldeinformationen eines lokalen Administrators ein und klicken Sie auf OK.
Die Seite Wählen Sie ein Wiederherstellungstool aus wird geöffnet.
6. Klicken Sie auf Systemstartreparatur.
Die Systemstartreparatur startet und sucht nach Fehlern.
7. Warten Sie, bis die Systemstartreparatur ihre Prüfungen beendet hat, und klicken Sie
dann auf Diagnose- und Reparaturdetails anzeigen.
8. Sehen Sie sich das Diagnose- und Reparaturprotokoll der Systemstartreparatur an.
9. Klicken Sie auf Schließen.
10. Klicken Sie auf Fertig stellen.
11. Klicken Sie auf Herunterfahren.

Zusammenfassung der Lektion


„ Das Wartungscenter ist ein guter Ausgangspunkt für die Problembehandlung.
„ Windows 7 bringt viele integrierte Problembehandlungsmodule mit, die zur neuen
erweiterbaren Windows-Problembehandlungsplattform gehören.
„ Die Zuverlässigkeitsüberwachung informiert Sie über die relative Stabilität eines
Systems während der letzten Wochen.
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 33

„ Häufige Startprobleme können Sie mit dem Systemstartreparaturtool beseitigen, das in


der Liste der Systemwiederherstellungsoptionen der Windows-Wiederherstellungsumge-
bung zur Verfügung steht.
„ Verwenden Sie die Windows-Speicherdiagnose, um das Hardware-RAM auf Fehler zu
prüfen.
„ Verwenden Sie Chkdsk, um eine Hardwarefestplatte auf Fehler zu prüfen.
„ Verwenden Sie die Defragmentierung, um eine physische Festplatte auf Fragmentierung
zu prüfen.

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1,
»Arbeiten mit den Hardwareproblembehandlungstools von Windows 7«, überprüfen. Die
Fragen finden Sie (in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch
auf dem Computer im Rahmen eines Übungstests beantworten.

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Sie arbeiten als Supporttechniker für ein großes Unternehmen. Der Helpdesk bittet Sie
um Unterstützung bei einem Computerproblem. Der betroffene Computer läuft unter
Windows 7, und das System friert immer öfter ein. Das Helpdeskpersonal teilt Ihnen mit,
dass abgesehen von einem kritischen Windows-Update keine Änderungen an der Soft-
ware vorgenommen wurden, seit das Problem zum ersten Mal auftauchte. Außerdem hat
ein gründlicher Virenscan keine Malware auf dem System gefunden.
Welches der folgenden Tools deckt wahrscheinlich einen Fehler bei dem System auf, das
zum geschilderten Problem passt?
A. Chkdsk
B. Defragmentierung
C. Systemstartreparatur
D. Geräte-Manager
2. Sie führen eine Problembehandlung für einen Systemfehler durch. Wenn Sie den Com-
puter einschalten, wird eine Meldung angezeigt, dass die Partitionstabelle ungültig ist.
Sie haben festgestellt, dass das System nur ein einziges Volume enthält und Windows 7
auf diesem Volume installiert ist.
Welches der folgenden Tools sollten Sie zuerst verwenden, um das gemeldete Problem
zu behandeln?
A. Chkdsk
B. Zuverlässigkeitsüberwachung
C. Windows-Speicherdiagnose
D. Systemstartreparatur
34 Kapitel 1: Beseitigen von Hardwarefehlern

Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten


Während Lektion 1 viele Tools vorgestellt hat, die in Windows 7 für die Behandlung von
Hardwareproblemen zur Verfügung stehen, beschreibt diese Lektion einen konkreten Satz
Strategien für die Problembehandlung bestimmter Komponenten.
Wenn Sie allgemeine Computerfehler untersuchen, sollten Sie zuerst das Problem einkreisen
und feststellen, ob es sich um ein Hardware- oder ein Softwareproblem handelt. Sobald Sie
vermuten, dass defekte Hardware für den Computerfehler verantwortlich ist, können Sie Ihre
Problembehandlung auf eine bestimmte Hardwarekomponente konzentrieren (etwa das
Motherboard oder die Festplatte), um festzustellen, ob diese Komponente die Ursache für
den Fehler ist. Um zu wissen, welche Komponente Sie zuerst untersuchen sollten, müssen
Sie die Abläufe beim Startvorgang des Computers kennen. Außerdem müssen Sie wissen, an
welchen typischen Symptomen Sie das Versagen einer bestimmten Komponente erkennen.
In dieser Lektion lernen Sie grundlegende Abläufe für die Problembehandlung der vier
Hardwarekomponenten kennen, die am häufigsten für Computerfehler verantwortlich sind:
Netzteil, Motherboard, RAM und Festplatten. Dabei erfahren Sie auch, durch welche Symp-
tome sich ein Defekt dieser Komponententypen verrät.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Diagnostizieren von Hardwarefehlern mithilfe verschiedener Windows 7-Tools
Veranschlagte Zeit für diese Lektion: 30 Minuten

Unterscheiden von Hardware- und Softwarefehlern


Wenn bei einem Computersystem ein Fehler auftritt, sollten Sie zuerst herausfinden, ob
Software- oder Hardwarefehler die Ursache sind. Das ist nicht immer einfach. Manche
Hardwarefehler sind zwar leicht von Softwarefehlern zu unterscheiden, aber andere (bei-
spielsweise ein defektes RAM-Modul) zeigen Symptome, die denen von Softwarefehlern
zum Verwechseln ähnlich sind.
Im Allgemeinen gilt die folgende Regel aber für Fehler, die durch defekte Hardware verur-
sacht werden.
Ein Systemfehler wird durch ein Hardwareproblem verursacht, wenn eines der folgenden
Symptome auftritt:
„ Der Fehler tritt auf, bevor das Betriebssystem geladen wird.
„ Der Fehler tritt sporadisch auf, ohne dass ein Zusammenhang mit bestimmten Software-
aktivitäten zu erkennen ist.
Wenn Sie vermuten, dass ein Systemfehler durch ein Hardwareproblem verursacht wird,
können Sie die Informationen aus dieser Lektion in Kombination mit den in Lektion 1 be-
schriebenen Tools nutzen, um die konkrete Natur des Problems zu diagnostizieren.

Ablauf des Systemstarts


Funktioniert ein Hardwaregerät nicht, zeigt sich dieses Problem oft schon, bevor das Be-
triebssystem startet. Wenn Sie Hardwareprobleme untersuchen, ist es daher wichtig, dass Sie
wissen, welche Schritte innerhalb des Systemstartvorgangs dem Start des Betriebssystems
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 35

vorangehen. Können Sie beobachten, an welcher Stelle der Fehler auftritt, hilft Ihnen die
Kenntnis der Abläufe, die Komponente ausfindig zu machen, die den Fehler verursacht.
Die folgenden Schritte fassen den Systemstart bis zum Laden des Betriebssystems zusammen:
1. Einschalten
Während dieser Phase speist das Netzteil Strom in das Motherboard und die CPU (Pro-
zessor) ein.
2. Ausführen von Anweisungen, die im BIOS gespeichert sind
Sobald die CPU mit Strom versorgt wird, beginnt sie, die Anweisungen abzuarbeiten, die
im BIOS gespeichert sind. Das BIOS ist Firmware oder Low-Level-Software, die eng
mit der Hardware zusammenarbeitet. Das BIOS eines Computers enthält den prozessor-
abhängigen Code, der die grundlegenden Hardwarefunktionen des Computers testet und
die Kontrolle an das Systemstartgerät übergibt.
Außerdem enthält das BIOS Softwareschnittstellen zur Hardware, die es dem Betriebs-
system ermöglichen, Features wie Energieverwaltung, Virtualisierung, Hot-Swapping
und Start von USB-Geräten (Universal Serial Bus) anzubieten.

Hinweis Extensible Firmware Interface (EFI)


EFI ist ein erweiterter Nachfolger für das BIOS. In manchen neuen Computern ist es
bereits anzutreffen. Unabhängig davon, ob ein Computer BIOS oder EFI als Firmware
verwendet, ist die grundlegende Rolle dieser Firmware für den Startvorgang des Com-
puters dieselbe.

Während der Startphase werden zwei grundlegende Schritte durch die Anweisungen im
BIOS ausgeführt:
a. Durchführen des POST (Power On Self Test)
Der POST ist die Hardwareüberprüfung, die das BIOS ausführt, sobald der Com-
puter eingeschaltet wird. Erkennt der POST einen Hardwarefehler, etwa ein defektes
Anzeigegerät, meldet er den Fehler durch eine Tonfolge, die über den Typ des er-
kannten Fehlers Aufschluss gibt.
b. Lesen von Befehlen aus dem Systemstartgerät
Die zweite Funktion, die das BIOS ausführt, besteht darin, die Kontrolle an das Sys-
temstartgerät (boot device) zu übergeben und die Befehle zu lesen, die auf diesem
Systemstartgerät gespeichert sind. Das Systemstartgerät sollte das Gerät sein, auf
dem das Betriebssystem gespeichert ist. Üblicherweise ist das eine interne Festplatte,
aber Sie können im BIOS-Setupprogramm einstellen, in welcher Reihenfolge das
BIOS die verschiedenen Geräte nach gültigem Startcode durchsuchen soll.
3. Laden des Betriebssystems vom Systemstartgerät
Sofern der Systemstartvorgang diesen Punkt nicht erreicht, kann das Problem durch die
falsch konfigurierte Auswahl des Systemstartgeräts im BIOS-Setupprogramm, einen be-
schädigten MBR (Master Boot Record) auf der Festplatte, einen defekten Treiber (meist
bei einem SCSI-Festplattenlaufwerk) oder einen Hardwaredefekt verursacht werden.
Stürzt ein Computer nach dem Zeitpunkt ab, an dem das Laden des Betriebssystems vom
Systemstartgerät beginnt, ist die Ursache wahrscheinlich eher ein Software- als ein Hard-
36 Kapitel 1: Beseitigen von Hardwarefehlern

wareproblem. Aber das ist nicht immer so; durch Hardwaredefekte ausgelöste Abstürze
können jederzeit auftreten.

Prüfungstipp
Unter Umständen müssen Sie Ihr BIOS aktualisieren, damit Sie bestimmte Features wie den
Start von einem USB- oder Netzwerkgerät nutzen können.

Hinweis Simple Strategie für die Problembehandlung


Führen Sie im Rahmen einer Problembehandlung immer zuerst die ungefährlichste, billigste
und einfachste Aktion durch, die Ihnen hilft, die Ursache des Problems einzukreisen oder zu
identifizieren. Brauchen Sie danach weitere Informationen, um das Problem zu identifizie-
ren, führen Sie die nächste Aktion durch, die am ungefährlichsten, billigsten und einfachsten
ist; das wiederholen Sie, bis das Problem eindeutig identifiziert ist.

Behandeln von Netzteilproblemen


Das Netzteil wandelt den Wechselstrom aus der Steckdose in Gleichstrom der Spannungen
um, die von verschiedenen Computerkomponenten wie dem Motherboard benötigt werden.
Der folgende Abschnitt beschreibt grundlegende Strategien für die Problembehandlung im
Bereich der Stromversorgung.

Vorsicht Ziehen Sie den Stromstecker ab, bevor Sie das Gehäuse Ihres Computers öffnen!
Berühren Sie keine internen Komponenten, während ein Computer an die Steckdose ange-
schlossen ist. Sie könnten einen elektrischen Schlag bekommen oder den Computer schwer
beschädigen. Beachten Sie auch, dass die elektronischen Schaltkreise in einem Computer
sehr empfindlich auf statische Elektrizität reagieren, selbst auf einem Niveau, von dem ein
Mensch gar nichts bemerkt. Bevor Sie irgendeine Komponente berühren, sollten Sie sich
immer erst erden, indem Sie ein Metallteil in Ihrer Umgebung anfassen.

Der Computer scheint völlig tot zu sein. (Es bewegen sich keine Ventilatoren, es leuch-
ten keine Lämpchen, es sind keine Geräusche zu vernehmen oder Bewegungen zu sehen,
wenn Sie ihn einschalten.)
1. Überprüfen Sie, ob die Steckdose in Ordnung ist.
2. Überprüfen Sie, ob die Stromkabel richtig in die Steckdose, den Computer und das
Motherboard eingesteckt sind. (Denken Sie daran, dass die meisten modernen Mother-
boards zwei Stromstecker benötigen.)
3. Überprüfen Sie, ob ein interner Stromschalter ausgeschaltet ist. Falls es einen solchen
Schalter gibt, er eingeschaltet ist und das Netzteil in einem anderen Computer funktio-
niert, sollten Sie den Schalter austauschen.
4. Sofern Ihr Netzteil einen Spannungsumschalter hat, sollten Sie überprüfen, ob die
richtige Spannung für Ihr Land eingestellt ist.
5. Ersetzen Sie das Netzteil, falls die bisherigen Schritte das Problem nicht beseitigen.
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 37

Der Computer friert ein, bevor das Betriebssystem startet.


1. Vergleichen Sie die Stromanforderungen Ihrer Geräte mit der Kapazität des Netzteils.
Überprüfen Sie, ob das Netzteil genug Leistung für alle Geräte Ihres Computers liefert.
Ist das nicht der Fall, müssen Sie das Netzteil durch ein leistungsfähigeres Modell ersetzen.
2. Prüfen Sie mit einem Multimeter, ob das Netzteil dem Computer stabil die richtigen
Spannungen liefert. Ersetzen Sie andernfalls das Netzteil.
Der Computer schaltet sich plötzlich ab, ohne dass ein Grund zu erkennen ist.
1. Überprüfen Sie, ob sich der Netzteillüfter dreht. Falls nicht, können Sie sich darauf
beschränken, den Netzteillüfter austauschen.
2. Überprüfen Sie, ob der Lüfter auf dem Motherboard arbeitet. Ersetzen Sie diesen Lüfter,
wenn nötig.
3. Starten Sie die Windows-Speicherdiagnose, um Ihr RAM auf Hardwaredefekte zu über-
prüfen, wie in Lektion 1 dieses Kapitels beschrieben.
4. Führen Sie die Diagnosesoftware für das Motherboard aus, um die Funktion des Mother-
boards zu überprüfen. Diese Software erhalten Sie vom Hardwarehersteller.
5. Ersetzen Sie das gesamte Netzteil, falls die bisherigen Schritte das Problem nicht besei-
tigen.
Das Netzteil gibt ständig laute Geräusche von sich.
Ersetzen Sie das Netzteil.

Behandeln von Problemen mit dem Motherboard


Das Motherboard ist die Hauptkomponente des Computers. Es enthält die CPU oder CPUs,
Steckplätze für RAM-Module, Erweiterungssteckplätze für andere Geräte und (bei den
meisten modernen Motherboards) integrierte Komponenten und zugehörige Anschlüsse für
Ethernet, Sound, Monitor und USB.
Abbildung 1.37 zeigt ein modernes Motherboard mit integrierten Komponenten für Grafik,
USB, Ethernet und Audio.

Abbildung 1.37 Moderne Motherboards enthalten normalerweise


integrierte Komponenten für Grafik, USB, Ethernet und Audio

Der folgende Abschnitt beschreibt grundlegende Strategien für die Problembehandlung im


Bereich des Motherboards.
38 Kapitel 1: Beseitigen von Hardwarefehlern

Beim Einschalten des Computers wird auf dem Monitor nichts angezeigt und es sind
keine Signaltöne zu hören.
1. Entfernen Sie alle Peripheriegeräte, zum Beispiel externe Laufwerke und PC Cards, und
versuchen Sie dann erneut, den Computer zu starten. Gelingt das, können Sie versuchen,
das Gerät zu isolieren, von dem das Problem verursacht wird. Schließen Sie dazu jeweils
ein weiteres Gerät an und starten Sie den Computer neu, bis der Fehler erneut auftritt.
Sobald Sie sehen, welches externe Gerät das Problem verursacht, können Sie sich an den
Hersteller wenden und um Unterstützung für die weitere Problembehandlung bitten.
2. Überprüfen Sie, ob der Monitor mit Strom versorgt wird und an den Computer ange-
schlossen ist.
3. Überprüfen Sie, ob sich der Netzteillüfter dreht. Ist das nicht der Fall, müssen Sie mit
der Problembehandlung für das Netzteil fortfahren.
4. Stellen Sie sicher, dass alle erforderlichen Stromstecker an das Motherboard und andere
Computerkomponenten angeschlossen sind. (Denken Sie daran, dass die meisten moder-
nen Motherboards zwei Stromstecker benötigen.)
5. Überprüfen Sie, ob ein eventuell vorhandener Stromschalter eingeschaltet ist.
6. Sofern Ihr Netzteil einen Spannungsumschalter hat, sollten Sie überprüfen, ob die
richtige Spannung für Ihr Land eingestellt ist.
7. Überprüfen Sie, ob das Motherboard richtig eingebaut ist und die CPU fest im Sockel
sitzt.
8. Stellen Sie sicher, dass die RAM-Module fest in den richtigen Steckplätzen sitzen, wie
im Handbuch des Motherboardherstellers angegeben.
9. Führen Sie die Windows-Speicherdiagnose aus und ersetzen Sie bei Bedarf die defekten
RAM-Module.
10. Setzen Sie das BIOS auf seine Standardeinstellungen zurück. (Wie das geht, ist im Hand-
buch für das Motherboard beschrieben. Sie können das BIOS auch zurücksetzen, indem
Sie die Batterie auf dem Motherboard 30 Minuten lang entfernen.)
11. Prüfen Sie mithilfe des Handbuchs für das Motherboard, ob alle Jumper richtig gesetzt
sind.
12. Ersetzen Sie die Grafikkarte, falls Ihr Computer keinen internen Lautsprecher hat (und
Sie deshalb keine Signaltöne hören können).
13. Tauschen Sie das Netzteil aus.
14. Tauschen Sie das Motherboard aus.
Beim Einschalten des Computers hören Sie Signaltöne, aber das System startet nicht.
1. Entfernen Sie alle Peripheriegeräte, zum Beispiel externe Laufwerke und PC Cards, und
versuchen Sie dann erneut, den Computer zu starten. Gelingt das, können Sie versuchen,
das Gerät zu isolieren, von dem das Problem verursacht wird. Schließen Sie dazu jeweils
ein weiteres Gerät an und starten Sie den Computer neu, bis der Fehler erneut auftritt.
2. Schlagen Sie im Handbuch des Motherboards oder auf der Website des Herstellers nach,
was die ausgegebenen Signaltöne bedeuten.
3. Versuchen Sie, die Komponente zu reparieren, die durch die Signaltöne identifiziert wird.
Dazu müssen Sie unter Umständen Stromkabel anschließen, Komponenten wie das RAM
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 39

oder die CPU neu einstecken, das BIOS zurücksetzen oder Jumper auf dem Motherboard
umstecken.
4. Tauschen Sie bei Bedarf die defekte Komponente aus, die durch die Signaltöne identi-
fiziert wird.
Der Computer schaltet sich immer wieder aus, sobald er einige Minuten gelaufen ist.
1. Überprüfen Sie, ob sich der CPU-Lüfter auf dem Motherboard dreht. Ersetzen Sie ihn,
wenn das nicht der Fall ist.
2. Stellen Sie den Computer so auf, dass er nicht in einer Warmluftblase steht. (Bei Note-
books ist das besonders problematisch.)
Der Computer schaltet sich in nicht vorhersagbaren Abständen aus.
1. Starten Sie die Windows-Speicherdiagnose, um Ihr RAM auf Hardwaredefekte zu über-
prüfen, wie in Lektion 1 dieses Kapitels beschrieben.
2. Führen Sie die Diagnosesoftware für das Motherboard aus, um die Funktion des Mother-
boards zu überprüfen. Diese Software erhalten Sie vom Hardwarehersteller.
3. Stellen Sie den Computer so auf, dass er nicht in einer Warmluftblase steht. (Bei Note-
books ist das besonders problematisch.)
Das Betriebssystem kann Energieverwaltung, Virtualisierung, USB- oder Netzwerk-
start, Hot-Swapping oder andere Features nicht nutzen, obwohl sie von der Hardware
unterstützt werden.
Aktivieren Sie das gewünschte Feature im BIOS-Setupprogramm.

Behandeln von RAM-Problemen


Bei PCs ist das RAM (Random Access Memory) der nicht dauerhafte Arbeitsspeicher, der
von Modulen wie beispielsweise DIMMs (Dual Inline Memory Module) zur Verfügung
gestellt wird. In diesem Arbeitsspeicher werden relativ große Datenmengen so gespeichert,
dass der Prozessor schnell darauf zugreifen kann. Eine wichtige Beschränkung des Com-
puter-RAMs ist, dass alle Daten darin verloren gehen, sobald es nicht mehr mit Strom ver-
sorgt wird.
Das häufigste Symptom für ein Arbeitsspeicherproblem ist ein Systemabsturz oder ein Ab-
bruchfehler in Windows. Sollten derartige Fehler auftreten, erhalten Sie unter Umständen
eine Meldung, die explizit auf ein Arbeitsspeicherproblem hinweist. Arbeitsspeicherproble-
me können aber auch verhindern, dass Windows überhaupt startet. Sofern Sie eine Fehler-
meldung sehen, die den Arbeitsspeicher betrifft, oder ein RAM-Defekt definitiv als Ursache
für Computerabstürze oder Systemstartfehler ausschließen wollen, sollten Sie folgender-
maßen vorgehen:
1. Führen Sie die Windows-Speicherdiagnose aus, wie in Lektion 1 dieses Kapitels be-
schrieben.
2. Gehen Sie folgendermaßen vor, falls Fehler gefunden wurden oder nicht das gesamte
installierte RAM erkannt wird:
a. Stellen Sie sicher, dass die RAM-Module fest in den Sockeln stecken.
b. Überprüfen Sie, ob die RAM-Module in den richtigen Sockeln stecken, wie im
Handbuch des Motherboardherstellers angegeben.
40 Kapitel 1: Beseitigen von Hardwarefehlern

c. Überprüfen Sie, ob das eingebaute RAM den richtigen Typ hat, wie im Handbuch
des Motherboardherstellers angegeben.
d. Falls das Problem weiterhin besteht, sollten Sie alle Module ausbauen, die RAM-
Sockel säubern, ein Modul in den ersten Sockel einsetzen und den Computer neu
starten. Testen Sie auf diese Weise alle RAM-Module.

Behandeln von Festplattenproblemen


Technisch gesehen ist ein Festplattenlaufwerk ein Gerät zum dauerhaften Speichern von
Daten auf rotierenden Magnetplatten. Die Technik ist zwar schon Jahrzehnte alt, aber auch
heute noch der am häufigsten genutzte Speichertyp. Allmählich werden Festplattenlauf-
werke allerdings durch andere Formen nicht-flüchtiger Speicher ersetzt, beispielsweise
SSDs (Solid-State Drive).
Der folgende Abschnitt beschreibt grundlegende Strategien für die Problembehandlung im
Bereich der Festplatten.
Sie hören ein lautes Sirren, Kreischen oder Klicken.
1. Sichern Sie Ihre Daten. Das Festplattenlaufwerk könnte jeden Augenblick ausfallen.
2. Tauschen Sie das Laufwerk aus.
Das Betriebssystem startet nicht und Sie erhalten eine Fehlermeldung, die so ähnlich
aussieht wie eine der folgenden:
Hard disk error.
Invalid partition table.
A disk-read error occurred.
Couldn’t find loader.
1. Überprüfen Sie, ob das BIOS-Setupprogramm so konfiguriert ist, dass es vom Festplat-
tenlaufwerk startet.
2. Überprüfen Sie, ob das Festplattenlaufwerk ein Betriebssystem enthält.
3. Führen Sie das Systemstartreparaturtool aus, wie in Lektion 1 dieses Kapitels beschrie-
ben.
4. Überprüfen Sie, ob die Stromleitung an das Festplattenlaufwerk angeschlossen ist.
5. Überprüfen Sie, ob alle Jumper an Ihren Festplattenlaufwerken richtig konfiguriert sind,
wie im Handbuch des Herstellers angegeben.
6. Versuchen Sie, die Festplatte aus einem Systemabbild wiederherzustellen.
7. Tauschen Sie das Festplattenlaufwerk aus.
Das Betriebssystem startet, aber die Leistung wird im Lauf der Zeit immer schlechter.
Führen Sie die Defragmentierung aus, wie in Lektion 1 dieses Kapitels beschrieben.
Das Betriebssystem startet, aber Sie finden Hinweise, dass Daten beschädigt sind.
oder
Das System friert gelegentlich ein und reagiert einige Zeit nicht.
1. Führen Sie Chkdsk aus, wie in Lektion 1 dieses Kapitels beschrieben.
2. Führen Sie die Diagnosesoftware des Festplattenherstellers aus, um die Funktion der
Festplattenhardware zu testen.
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 41

Schnelltest
Ist die Festplatte oder das RAM die wahrscheinlichere Ursache, wenn ein System
einfriert?
Antwort zum Schnelltest
Wenn ein System einfriert, ist wahrscheinlich ein Defekt der Festplatte die Ursache.

Weitere Informationen Beseitigen von Problemen mit Hardwarekomponenten


Einen ausführlichen Leitfaden, wie Sie Probleme mit Hardwarekomponenten beseitigen,
finden Sie in Computer Repair with Diagnostic Flowcharts: Troubleshooting PC Hardware
Problems from Boot Failure to Poor Performance, Revised Edition (Foner Books, 2008) von
Morris Rosenthal. Umfangreiche Auszüge aus diesem Buch finden Sie unter http://www.
fonerbooks.com/pcrepair.htm.

Übung Testen diverser Hardwarekomponenten


In dieser Übung führen Sie eine Diagnose durch, um das RAM und die Festplatte Ihres
Computers zu überprüfen.

Übung 1 Testen des RAMs mit der Windows-Speicherdiagnose


In dieser Übung starten Sie Ihren Computer neu, öffnen das Menü des Windows-Start-
Managers, wählen die Windows-Speicherdiagnose aus und testen den Arbeitsspeicher.
1. Nehmen Sie alle CDs oder DVDs aus den lokalen Laufwerken des Windows 7-Com-
puters.
2. Starten Sie den Computer (oder starten Sie ihn neu, wenn er bereits läuft).
3. Drücken Sie beim Start des Computers wiederholt die Leertaste (einmal pro Sekunde
reicht).
Das Menü Windows-Start-Manager wird angezeigt.
4. Drücken Sie die TABULATORTASTE , um im Menü des Windows-Start-Managers den
Eintrag Windows-Speicherdiagnose auszuwählen, und drücken Sie die EINGABETASTE .
Das Windows-Speicherdiagnosetool startet.
5. Lesen Sie die angezeigten Meldungen durch und drücken Sie dann F1 , um den Bild-
schirm Optionen zu öffnen.
6. Stellen Sie auf dem Bildschirm Optionen mithilfe von TABULATORTASTE , Pfeiltasten
und Zahlentasten die Testzusammenstellung auf Minimal und die Durchlaufanzahl auf 1.
7. Drücken Sie F10 , damit die neuen Einstellungen übernommen werden.
8. Es beginnt ein kurzer Test des Arbeitsspeichers. Sobald die Überprüfung abgeschlossen
ist, wird Windows automatisch neu gestartet. Wenn Sie sich angemeldet haben, erscheint
eine Benachrichtigung, die angibt, ob Fehler gefunden wurden.
42 Kapitel 1: Beseitigen von Hardwarefehlern

Übung 2 Testen der Festplatte mit Chkdsk


In dieser Übung melden Sie sich an Windows 7 an, öffnen eine Eingabeaufforderung mit
erhöhten Rechten und führen das Programm Chkdsk in der Befehlszeile aus.
1. Melden Sie sich an Windows 7 an und öffnen Sie eine Eingabeaufforderung mit erhöh-
ten Rechten. Klicken Sie dazu im Startmenü unter Alle Programme\Zubehör mit der
rechten Maustaste auf Eingabeaufforderung, wählen Sie im Kontextmenü den Befehl Als
Administrator ausführen und klicken Sie in der Eingabeaufforderung der Benutzerkon-
tensteuerung auf Ja.
2. Geben Sie an der Eingabeaufforderung den Befehl chkdsk /? ein.
3. Lesen Sie die Ausgabe und sehen Sie sich an, welche Optionen für den Befehl chkdsk zur
Verfügung stehen.
4. Geben Sie an der Eingabeaufforderung den Befehl chkdsk c: /f /v /i /c ein.
(Sofern Ihr Systemlaufwerk einen anderen Laufwerkbuchstaben als C: hat, müssen Sie
das c: in diesem Befehl durch den Laufwerkbuchstaben ersetzen, der Ihrem Systemlauf-
werk zugewiesen ist. Hat Ihr Systemlaufwerk beispielsweise den Buchstaben E:, lautet
der Befehl chkdsk e: /f /v /i /c.)
Diese Argumente bewirken, dass gefundene Fehler automatisch repariert (/f) und Mel-
dungen zu Aufräumoperationen angezeigt werden (/v). Chkdsk führt dabei eine schnellere
Überprüfung durch, bei der bestimmte Testarten übersprungen werden (/i und /c).
5. Es erscheint eine Meldung, dass Chkdsk nicht ausgeführt werden kann, weil das Volume
von einem anderen Prozess benutzt wird. Sie werden gefragt, ob das Volume geprüft
werden soll, sobald das System das nächste Mal startet.
Diese Meldung erscheint, weil das Volume, das Sie überprüfen wollen, momentan für
die Ausführung von Windows benutzt wird. Sie können Chkdsk nur für ein Volume aus-
führen, das nicht anderweitig benutzt wird.
6. Drücken Sie Y und starten Sie das System neu.
7. Wenn Windows neu startet, wird eine Meldung angezeigt, während Chkdsk läuft. Weil
die Argumente /i und /c angegeben wurden, weist eine Meldung darauf hin, dass der
Datenträger beschädigt sein könnte, selbst wenn keine Fehler gefunden werden.
Sobald Chkdsk fertig ist, wird Windows automatisch gestartet.

Zusammenfassung der Lektion


„ Beginnen Sie die Problembehandlung für einen Computerfehler damit, dass Sie heraus-
finden, ob das Problem auf Hardware oder Software zurückzuführen ist.
„ Haben Sie festgestellt, dass ein Fehler durch Hardware verursacht wird, müssen Sie
herausfinden, welche konkrete Komponente schuld ist. Beobachten Sie den Ablauf des
Systemstarts und entscheiden Sie anhand Ihres Wissens über Fehlersymptome, welche
Hardwarekomponente Sie zuerst untersuchen sollten.
„ Die Schritte zum Beseitigen von Problemen mit Hardwarekomponenten unterscheiden
sich von Komponente zu Komponente.
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 43

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 2,
»Beseitigen von Problemen mit Hardwarekomponenten«, überprüfen. Die Fragen finden Sie
(in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Com-
puter im Rahmen eines Übungstests beantworten.

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Sie untersuchen ein Problem bei einem Windows 7-Computer. An diesen Computer ist
ein externes Gehäuse für SATA-Laufwerke (Serial Advanced Technology Attachments)
angeschlossen, das es erlaubt, Festplatten im laufenden Betrieb einzustecken und wieder
zu entfernen. Aber immer, wenn Sie das Gerät ausschalten und die Festplatte entnehmen,
treten Fehler auf.
Durch welche der folgenden Maßnahmen gelingt es wahrscheinlich, die Festplatte im
externen Gehäuse auszutauschen, ohne dass Fehler entstehen?
A. Aktivieren Sie in der Systemsteuerung den Energiesparplan Höchstleistung.
B. Führen Sie Chkdsk für den Datenträger aus.
C. Stellen Sie sicher, dass die Jumper der internen IDE-Laufwerke (Integrated Drive
Electronics) richtig konfiguriert sind.
D. Aktualisieren Sie das BIOS und stellen Sie sicher, dass es richtig konfiguriert ist.
2. Sie untersuchen ein Problem bei einem Windows 7-Computer. Dieser Computer wird
nachts von einem Administrator, tagsüber von einem normalen Benutzer verwendet. Der
normale Benutzer beschwert sich, dass der Computer träge reagiert. Ein gründlicher
Virenscan hat keine Malware auf dem System entdeckt. Wartungscenter, Zuverlässig-
keitsüberwachung, Ereignisanzeige und Geräte-Manager zeigen nichts Ungewöhnliches.
Welchen der folgenden Problembehandlungsschritte sollten Sie zuerst ausführen?
A. Führen Sie Chkdsk aus.
B. Starten Sie die Defragmentierung, um den Fragmentierungsgrad der Festplatte zu
analysieren.
C. Führen Sie die Systemstartreparatur aus.
D. Führen Sie die Windows-Speicherdiagnose aus.
44 Kapitel 1: Beseitigen von Hardwarefehlern

Rückblick auf dieses Kapitel


Sie können die in diesem Kapitel erworbenen Fähigkeiten folgendermaßen einüben und
vertiefen:
„ Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.
„ Lesen Sie die Liste der Schlüsselbegriffe durch, die in diesem Kapitel eingeführt wurden.
„ Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle
aus der Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie wer-
den aufgefordert, eine Lösung zu entwickeln.
„ Führen Sie die vorgeschlagenen Übungen durch.
„ Machen Sie einen Übungstest.

Zusammenfassung des Kapitels


„ Windows 7 enthält mehrere Tools, die Sie einsetzen können, um Probleme im Bereich
der Hardware zu diagnostizieren.
„ Wenn Sie eine Problembehandlung für Hardware durchführen, sollten Sie unbedingt die
verschiedenen Strategien für alle einzelnen Komponententypen kennen.

Schlüsselbegriffe
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten über-
prüfen, indem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.
„ Wartungscenter
„ BIOS (Basic Input/Output System)
„ Chkdsk
„ Defragmentierung
„ Zuverlässigkeitsüberwachung
„ Systemstartreparatur
„ Systemwiederherstellungsoptionen
„ Problembehandlungspaket
„ Windows-Start-Manager
„ Windows-Speicherdiagnose
„ Windows-Wiederherstellungsumgebung

Übungen mit Fallbeispiel


In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die in diesem Kapi-
tel behandelten Themen gelernt haben. Die Lösungen zu den Fragen finden Sie im Abschnitt
»Antworten« hinten in diesem Buch.
Übungen mit Fallbeispiel 45

Übung mit Fallbeispiel 1: Problembehandlung für Abbruchfehler


Sie arbeiten als Supporttechniker in einem Großunternehmen. Ihr Manager bittet Sie, Pro-
bleme mit einem Computer zu beseitigen, der vom Arbeitsplatz eines Benutzers entfernt
wurde. Der Benutzer hat gemeldet, dass in der letzten Woche etliche Abbruchfehler aufge-
treten sind, und zwar während er Webseiten las. Der Computer läuft unter Windows 7.
Als Sie sich an diesem Computer anmelden, stellen Sie fest, dass Wartungscenter und Ereig-
nisanzeige keine Informationen zum untersuchten Problem enthalten.
Beantworten Sie vor diesem Hintergrund die folgenden Fragen:
1. Welches Tool benutzen Sie, um herauszufinden, wie lange das Problem schon besteht?
2. Sie stellen fest, dass das Problem bald nach einer Aufrüstung des Arbeitsspeichers be-
gann. Welches Problembehandlungstool verwenden Sie als Nächstes?
3. Sie finden Fehler beim neuen RAM-Modul. Welche Maßnahme empfehlen Sie, um das
Problem zu beseitigen?

Übung mit Fallbeispiel 2: Problembehandlung für Systemabstürze


Sie arbeiten als Supporttechniker für Humongous Insurance, einen Versicherungskonzern
mit 250 Angestellten. In der Hauptniederlassung in Atlanta gibt es 200 Clientcomputer, die
unter Windows 7 laufen, und 10 Server, die unter Windows Server 2008 laufen.
Sie erhalten einen Anruf vom Helpdesk, der Sie über ein Problem informiert, das der Help-
desk-Supporttechniker nicht lösen konnte. Der Computer eines Sachbearbeiters ist heute
mehrmals ohne Vorwarnung abgestürzt. Sie befragen sowohl den Sachbearbeiter als auch
den Helpdeskmitarbeiter.

Recherche
Hier die Aussagen der Unternehmensmitarbeiter, die Sie befragt haben:
„ Sachbearbeiter »Das ist heute schon dreimal passiert, und ständig geht meine Arbeit
verloren. Jedes Mal hatte ich bereits einige Minuten gearbeitet, als sich der Computer
ohne Vorwarnung ausschaltete. Das Problem trat einmal auf, als ich eine E-Mail schrieb,
die beiden anderen Male füllte ich gerade Formulare aus.«
„ Helpdeskmitarbeiter »Im Wartungscenter werden keine Fehler gemeldet. Ich habe
einige Problembehandlungsmodule ausgeführt, ohne dass Probleme gefunden wurden.
Im Geräte-Manager sehe ich nichts Ungewöhnliches, und die Windows-Updates sind auf
dem aktuellen Stand. In der Ereignisanzeige tauchen einige Fehler aus den letzten Wochen
auf, aber ich verstehe sie nicht. Der Benutzer sagt, dass es keinen Abbruchfehler gibt,
wenn der Computer neu startet.«

Fragen
1. Warum ist die Ursache für dieses Problem eher bei der Hardware zu suchen als bei der
Software?
2. Sie stellen fest, dass das Problem rund 15 Minuten nach dem Start auftritt. Was sollten
Sie als Nächstes prüfen?
46 Kapitel 1: Beseitigen von Hardwarefehlern

Vorgeschlagene Übungen
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die in diesem Kapitel behandel-
ten Prüfungsziele meistern wollen.

Untersuchen und Beseitigen von Hardwareproblemen


Arbeiten Sie folgende Aufgaben durch, um Ihre Fähigkeiten bei der Problembehandlung von
Hardware zu erweitern:
„ Übung 1 Lesen Sie das Handbuch für Ihr Motherboard durch. Prägen Sie sich die Sig-
naltöne für die verschiedenen Arten von Hardwarefehlern ein.
„ Übung 2 Laden Sie von der Website Ihres Motherboardherstellers alle Dienstpro-
gramme herunter, die die Funktion des Motherboards und der darauf verwendeten
Chipsätze testen, und führen Sie diese Programme aus.
„ Übung 3 Führen Sie die Windows-Speicherdiagnose über Nacht aus, wobei Sie die
Zusammenstellung Erweitert und eine Durchführungszahl von 20 einstellen.
„ Übung 4 Laden Sie von der Website Ihres Festplattenherstellers alle Dienstprogramme
herunter, die die Funktion des Laufwerks testen, und führen Sie diese Programme aus.
„ Übung 5 Drücken Sie, während Ihr Computer startet, die Taste zum Aufrufen des
BIOS-Setupprogramms. Sehen Sie sich im BIOS-Setup an, welche Optionen zur Ver-
fügung stehen. Schließen Sie das Programm, ohne Änderungen zu übernehmen.
„ Übung 6 Prüfen Sie auf der Website Ihres Motherboardherstellers, ob eine neuere Ver-
sion des BIOS verfügbar ist. Laden Sie in diesem Fall die neue Version herunter und
führen Sie ein BIOS-Update durch.

Machen Sie einen Übungstest


Die Übungstests (in englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahl-
reiche Möglichkeiten. Zum Beispiel können Sie einen Test machen, der ausschließlich die
Themen aus einem Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesam-
ten Inhalt der Prüfung 70-685 testen. Sie können den Test so konfigurieren, dass er dem Ab-
lauf einer echten Prüfung entspricht, oder Sie können einen Lernmodus verwenden, in dem
Sie sich nach dem Beantworten einer Frage jeweils sofort die richtige Antwort und Erklä-
rungen ansehen können.

Weitere Informationen Übungstests


Einzelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, finden Sie im
Abschnitt »So benutzen Sie die Übungstests« in der Einführung am Anfang dieses Buchs.
47

K A P I T E L 2

Netzwerk

Weil Benutzer Netzwerkressourcen unbedingt für wichtige Anwendungen wie E-Mail brau-
chen, müssen Sie in der Lage sein, häufige Netzwerkprobleme schnell zu diagnostizieren.
Windows 7 kann viele häufige Probleme automatisch diagnostizieren und stellt Tools zur
Verfügung, mit denen Sie andere Bedingungen von Hand überprüfen können. Dieses Kapitel
beschreibt, wie Sie Netzwerkeinstellungen auf Windows 7-Computern konfigurieren und
wie Sie eine Problembehandlung durchführen.
Drahtlosnetzwerke (wireless network) verbreiten sich immer mehr, die meisten mobilen
Computer nehmen regelmäßig Verbindung mit einem oder mehreren Drahtlosnetzwerken
auf. Viele reisende Benutzer stellen Verbindungen zu Dutzenden von Drahtlosnetzwerken
her: einige im Büro, andere zu Hause, wieder andere an öffentlichen WLAN-Hotspots in
Internetcafés oder Flughäfen.
Um sicherzustellen, dass den Benutzern ihre Verbindungen erhalten bleiben, müssen Sie
wissen, wie Sie Kabel- und Drahtlosnetzwerke konfigurieren und Probleme damit beseitigen.
Dieses Kapitel erklärt, wie Sie mithilfe der verfügbaren Tools Netzwerkprobleme diagnosti-
zieren und Verbindungsprobleme beseitigen, beispielsweise Probleme mit der Namensauf-
lösung.

In diesem Kapitel abgedeckte Prüfungsziele:


„ Untersuchen und Beseitigen von Netzwerkkonnektivitätsproblemen
„ Untersuchen und Beseitigen von Namensauflösungsproblemen
„ Untersuchen und Beseitigen von Problemen im Bereich der Drahtloskonnektivität

Lektionen in diesem Kapitel:


„ Lektion 1: Problembehandlung für die Netzwerkkonnektivität . . . . . . . . . . . . . . . . 49
„ Lektion 2: Problembehandlung für die Namensauflösung . . . . . . . . . . . . . . . . . . . 68
„ Lektion 3: Problembehandlung für Drahtlosnetzwerke . . . . . . . . . . . . . . . . . . . . . 75

Bevor Sie beginnen


Um die Übungen in diesem Kapitel durcharbeiten zu können, sollten Sie mit Windows 7
vertraut sein und folgende Aufgaben beherrschen:
„ Installieren von Windows 7
„ Einen Computer hardwaremäßig an das Netzwerk anschließen
„ Konfigurieren eines Drahtloszugriffspunkts
„ Durchführen einfacher Verwaltungsaufgaben auf einem Windows Server 2008 R2-
Domänencontroller
48 Kapitel 2: Netzwerk

Um die Übungen in Lektion 3, »Problembehandlung für Drahtlosnetzwerke« durchzuarbei-


ten, brauchen Sie einen Drahtloszugriffspunkt und einen Computer, der unter Windows 7
läuft und mit einem Drahtlosnetzwerkadapter ausgestattet ist.

Praxistipp
Tony Northrup
Sie lernen in diesem Kapitel etliche unterschiedliche Tools zum Behandeln von Netz-
werkproblemen kennen, darunter Ping, PathPing, Nslookup und Ipconfig. Das wichtigste
Problembehandlungstool erfordert aber gar keine lange Einarbeitung: die Windows-Netz-
werkdiagnose. Sie automatisiert die Diagnose von Netzwerkproblemen und ist sogar in
der Lage, viele Probleme mit der Netzwerkkonfiguration automatisch zu reparieren.
Läuft die Diagnose automatisiert ab, schaltet das viele Fehlerquellen aus, die durch
menschliches Versagen entstehen. Als ich Netzwerkprobleme von Hand untersuchte,
verließ ich mich oft auf mein Gefühl. War zum Beispiel in der Vergangenheit der Router
ausgefallen, nahm ich an, dass das Problem beim Router lag, und versuchte, ihn mit Ping
zu erreichen. Schlug der Ping-Test fehl, ging ich davon aus, dass meine erste Vermutung
zutraf. Dass der Ping-Test fehlschlug, konnte aber auch daran liegen, dass eine Netzwerk-
karte defekt war, die IP-Adresse falsch konfiguriert war oder eine Firewall die Übertra-
gung blockierte. Unter Umständen hatte ich mich auch nur beim Eingeben der IP-Adresse
des Routers vertippt.
Manchmal sparen Sie sich Zeit, wenn Sie sich auf Ihr Gefühl verlassen. Ist Ihre erste Ver-
mutung allerdings falsch, verschwenden Sie möglicherweise Stunden damit, ein Problem
zu beseitigen, das gar nicht besteht. Die Windows-Netzwerkdiagnose verlässt sich nicht
auf Ahnungen oder Gefühle. Sie verschwendet aber auch niemals Zeit, weil sie eine kom-
plexe Diagnose binnen weniger Sekunden erledigt. Sie überspringt niemals Schritte, ver-
gisst nie, etwas zu überprüfen, und vertippt sich nicht.
In der Praxis sollten Sie Ihre Problembehandlung immer mit der Windows-Netzwerkdiag-
nose beginnen. Danach können Sie die anderen Problembehandlungswerkzeuge einsetzen,
um das Problem zu bestätigen oder eine zusätzliche Diagnose durchzuführen, falls die
Windows-Netzwerkdiagnose keine brauchbare Antwort liefert.
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 49

Lektion 1: Problembehandlung für die Netzwerkkonnektivität


Falls eine Netzwerkkarte, ein Netzwerkkabel, ein Switch, ein Router, eine Internetverbin-
dung oder ein Server ausfällt, hat der Benutzer den Eindruck, dass er keine Verbindung mit
einem Netzwerk herstellen kann. Oft bedeutet das, dass dieser Benutzer seine Arbeit nicht
erledigen kann. Daher ist es sehr wichtig, dass Sie das Problem schnell identifizieren und
beseitigen. Weil Netzwerkfehler durch viele unterschiedliche Komponenten verursacht wer-
den können, müssen Sie unbedingt wissen, wie jede Komponente funktioniert und welche
Tools zur Verfügung stehen, um herauszufinden, ob eine bestimmte Komponente ausgefallen
ist. Diese Lektion beschreibt, wie Sie die Ursache von Netzwerkproblemen identifizieren
und wie Sie das Problem beseitigen (soweit möglich).

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Durchführen einer automatischen Problembehandlung für häufige Netzwerkprobleme
mit der Windows-Netzwerkdiagnose
„ Durchführen einer manuellen Problembehandlung für Netzwerkprobleme mit Ping,
PathPing, PortQry und Nslookup
„ Durchführen einer Problembehandlung für Verbindungen zu freigegebenen Ordnern
„ Durchführen einer Problembehandlung für eine APIPA-Adresse
„ Durchführen einer Problembehandlung für ein Namensauflösungsproblem
„ Durchführen einer Problembehandlung für ein Netzwerk- oder Anwendungsverbindungs-
problem
Veranschlagte Zeit für diese Lektion: 45 Minuten

Arbeiten mit der Windows-Netzwerkdiagnose


Windows 7 enthält Diagnosetools, die den Überprüfungsprozess für häufig vorkommende
Netzwerkprobleme automatisieren. Windows 7 kann viele Netzwerkprobleme, die mit der
Konfiguration zu tun haben oder schlicht ein Zurücksetzen der Netzwerkkarte erfordern,
auch automatisch beseitigen.
Es gibt verschiedene Methoden, die Windows-Netzwerkdiagnose zu starten:
„ Klicken Sie im Infobereich der Taskleiste mit der rechten Maustaste auf das Netzwerk-
symbol und wählen Sie den Befehl Problembehandlung (Abbildung 2.1).

Abbildung 2.1 Starten der Windows-Netzwerkdiagnose


über das Netzwerksymbol in der Taskleiste

„ Öffnen Sie das Netzwerk- und Freigabecenter (zum Beispiel indem Sie mit der rechten
Maustaste auf das Netzwerksymbol in der Taskleiste klicken und dann den Befehl Netz-
werk- und Freigabecenter öffnen wählen). Klicken Sie in der Netzwerkübersicht auf die
Verbindung, die mit einem X markiert ist (Abbildung 2.2).
50 Kapitel 2: Netzwerk

Abbildung 2.2 Anklicken einer unterbrochenen Verbindung im Netzwerk- und


Freigabecenter, um ein Problem zu diagnostizieren

„ Öffnen Sie das Netzwerk- und Freigabecenter. Klicken Sie unten im rechten Fenster-
abschnitt auf den Link Probleme beheben.
„ Klicken Sie auf der Seite Netzwerkverbindungen der Systemsteuerung mit der rechten
Maustaste auf einen Netzwerkadapter und wählen Sie den Befehl Diagnose.
„ Wenn der Windows Internet Explorer eine Website nicht erreicht, haben Sie die Mög-
lichkeit, den Link Diagnose von Verbindungsproblemen anzuklicken.
„ Halten Sie die WINDOWS-LOGO-TASTE gedrückt und drücken Sie R , um das Dialog-
feld Ausführen zu öffnen. Geben Sie rundll32.exe ndfapi,NdfRunDllDiagnoseIncident
ein (beachten Sie dabei die Groß- und Kleinschreibung) und drücken Sie die EINGABE-
TASTE .
Sobald die Windows-Netzwerkdiagnose die Diagnose abgeschlossen hat, zeigt sie eine Liste
der erkannten Probleme an. Zum Beispiel zeigt Abbildung 2.3, dass der Computer richtig
mit dem Netzwerk verbunden ist, aber der DNS-Server (Domain Name System) nicht ver-
fügbar ist. Wenn der DNS-Server nicht verfügbar ist, hat das ähnliche Auswirkungen wie ein
vollständiger Verbindungsausfall, weil keine Computer zur Verfügung stehen, die anhand
ihres Hostnamens identifiziert werden. Um das Problem zu lösen, müssen Sie entweder eine
andere DNS-Server-IP-Adresse einstellen oder den DNS-Server wieder hochfahren.
Abbildung 2.4 zeigt ein Problem, das die Windows-Netzwerkdiagnose beseitigt hat: Die
Netzwerkkarte war deaktiviert. In diesem Fall braucht der Benutzer lediglich den Anwei-
sungen des Assistenten zu folgen, um die Netzwerkkarte wieder zu aktivieren.
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 51

Abbildung 2.3 Die Windows-Netzwerkdiagnose kann Probleme schnell


identifizieren, die für einen Menschen schwierig zu isolieren wären

Abbildung 2.4 Einige Konfigurationsprobleme kann die


Windows-Netzwerkdiagnose automatisch beseitigen

Die Windows-Netzwerkdiagnose zeichnet detaillierte Informationen über den Problem-


behandlungsvorgang auf, auf die Sie bei Bedarf zurückgreifen können, um das Problem
genauer einzukreisen. Gehen Sie folgendermaßen vor, um sich ausführliche Informationen
der Windows-Netzwerkdiagnose anzusehen, nachdem Sie die Windows-Netzwerkdiagnose
ausgeführt haben:
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den
Befehl Verwalten.
2. Wählen Sie Computerverwaltung, System, Ereignisanzeige, Windows-Protokolle und
schließlich System aus.
3. Klicken Sie im Fensterabschnitt Aktionen auf Aktuelles Protokoll filtern.
52 Kapitel 2: Netzwerk

4. Klappen Sie im Dialogfeld Aktuelles Protokoll filtern die Dropdownliste Quellen auf
und aktivieren Sie den Eintrag Diagnostics-Networking. Klicken Sie auf OK.
5. Das Snap-In Ereignisanzeige zeigt eine Liste der Ereignisse an, die von der Windows-
Netzwerkdiagnose generiert wurden. Sie enthalten detaillierte Informationen über alle
Problembehandlungssitzungen.

Tools zum Behandeln von Netzwerkproblemen


Für den Fall, dass die Windows-Netzwerkdiagnose die Ursache des Problems nicht ausfin-
dig machen kann, stellt Windows 7 viele Tools zur Verfügung, mit denen Sie eine manuelle
Problembehandlung durchführen können. Die folgenden Abschnitte beschreiben die wich-
tigsten Tools. Weiter unten in diesem Kapitel wird beschrieben, wie Sie mithilfe dieser Tools
spezifische Netzwerkprobleme beseitigen.

Ipconfig
Die meisten Administratoren beginnen die Diagnose von Netzwerkproblemen mit dem
Befehlszeilentool Ipconfig. Es gibt zahlreiche Möglichkeiten, Ipconfig einzusetzen, wie in
diesem Kapitel beschrieben. Führen Sie den folgenden Befehl aus, um die aktuelle IP-Kon-
figuration des Computers anzuzeigen:
C:\ipconfig /all
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : WIN7
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel 21140-basierter PCI Fast-Ethernet-Adapter
Physikalische Adresse . . . . . . : 00-15-C5-07-BF-34
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindung
Physikalische Adresse . . . . . . : 00-13-02-1E-E6-59
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.1.130(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Montag, 10. September 2009 09:47:28
Lease läuft ab. . . . . . . . . . : Mittwoch, 12. September 2009 16:00:17
Standardgateway . . . . . . . . . : 192.168.1.1
DHCP-Server . . . . . . . . . . . : 192.168.1.1
DNS-Server . . . . . . . . . . . : 192.168.0.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 53

Wenn Sie sich die Ausgabe in diesem Beispiel ansehen, stellen Sie fest, dass der kabelge-
bundene Gigabit-Ethernet-Controller keine Verbindung hat. Der Computer ist allerdings mit
einem Drahtlosnetzwerk verbunden, und ein DHCP-Server (Dynamic Host Configuration
Protocol) hat ihm die IP-Adresse (Internet Protocol) 192.168.1.130 zugewiesen. Das Stan-
dardgateway hat die IP-Adresse 192.168.1.1, und der DNS-Server die IP-Adresse 192.168.0.1.
Sie können Ipconfig auch einsetzen, um die IP-Konfiguration eines Computers zu aktuali-
sieren. Sofern der Computer seine IP-Adresse automatisch von einem DHCP-Server zuge-
wiesen bekommen hat (was bei den meisten Clients der Fall ist), können Sie ihm mit den
beiden folgenden Befehlen eine neue IPv4-Adresse zuteilen lassen:
ipconfig /release
ipconfig /renew
Und mit den beiden nächsten Befehlen erhalten Sie eine neue IPv6-Adresse:
ipconfig /release6
ipconfig /renew6
Ipconfig eignet sich auch zum Untersuchen von DNS-Problemen, wie in Lektion 2, »Pro-
blembehandlung für die Namensauflösung«, beschrieben.

Ping
Ping ist das bekannteste Netzwerkdiagnosetool. Da aber immer mehr neue Computer und
Router ICMP-Anforderungen (Internet Control Message Protocol, das Netzwerkprotokoll,
mit dem Ping arbeitet) blockieren, ist es nicht mehr so nützlich wie früher. Ping funktioniert
aber noch in den meisten LANs (Local Area Network).
Sie benutzen Ping, indem Sie eine Eingabeaufforderung öffnen und den Befehl ping Hostname
ausführen. Ein Beispiel:
C:\>ping www.contoso.com
Ping wird ausgeführt für contoso.com [207.46.197.32] mit 32 Bytes Daten:
Antwort von 207.46.197.32: Bytes=32 Zeit=95ms TTL=105
Antwort von 207.46.197.32: Bytes=32 Zeit=210ms TTL=105
Antwort von 207.46.197.32: Bytes=32 Zeit=234ms TTL=105
Antwort von 207.46.197.32: Bytes=32 Zeit=258ms TTL=105
Ping-Statistik für 207.46.197.32:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 95ms, Maximum = 258ms, Mittelwert = 199ms
Ping verrät Ihnen mehrere nützliche Dinge. Falls Sie Antworten erhalten, wissen Sie, dass
der Netzwerkhost eingeschaltet und mit dem Netzwerk verbunden ist. Die in Millisekunden
(ms) gemessene Zeit gibt die sogenannte Round-Trip-Latenz zwischen Ihnen und dem
Remotehost an. Latenz ist der Zeitabstand zwischen dem Absenden eines Pakets und dem
Empfang der Antwort. Sie hängt davon ab, wie lange Router zum Weiterleiten der Pakete
zwischen Netzwerken brauchen und wie schnell die Signale durch elektrische oder optische
Leitungen laufen. Falls die Latenz größer als 1 Sekunde ist, fühlt sich wahrscheinlich die
gesamte Netzwerkkommunikation sehr langsam an.
54 Kapitel 2: Netzwerk

Viele Hosts antworten nicht auf Ping-Anforderungen, selbst wenn sie online sind. Zum
Beispiel verwerfen die Webserver von microsoft.com ICMP-Anforderungen, auch wenn sie
online sind und Webanforderungen beantworten. Das folgende Beispiel demonstriert dies:
C:\>ping www.microsoft.com
Ping wird ausgeführt für lb1.www.microsoft.com [10.46.20.60] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Ping-Statistik für 10.46.20.60:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust)
Sie können Ping als primitives Netzwerküberwachungstool einsetzen, während Sie darauf
warten, dass ein Remotecomputer ein- oder ausgeschaltet wird. Verwenden Sie das Argu-
ment -t, um ständig Ping-Anforderungen an einen Host zu senden. Das folgende Beispiel
zeigt, wie dieser Aufruf aussieht. Ping sendet in diesem Falls so lange Anforderungen, bis
Sie den Befehl mit der Tastenkombination STRG +C abbrechen oder die Eingabeaufforde-
rung schließen:
C:\>ping www.contoso.com -t

PathPing
Ping testet die Verbindung zu einem bestimmten Host mit ICMP. Auch PathPing verwendet
ICMP, um die Verbindung zu einem Remotehost und allen Routern zwischen Ihnen und dem
Remotehost zu überprüfen. Das kann Ihnen helfen, Probleme zu identifizieren, die beim
Weiterleiten von Verkehr in Ihrem Netzwerk auftreten, zum Beispiel Routingschleifen (Ver-
kehr durchläuft denselben Router mehrfach), einen ausgefallenen Router (dann kann es so
aussehen, als wäre das gesamte Netzwerk ausgefallen) oder schlechte Netzwerkleistung.
Abbildung 2.5 zeigt, wie PathPing arbeitet.

Abbildung 2.5 PathPing sendet Anforderungen an alle Hosts zwischen Client und Ziel

Prüfungstipp PathPing und Tracert


Windows 7 enthält weiterhin Tracert (Abkürzung für »Trace Route«), aber PathPing kann
alles, was Tracert beherrscht, und ist leistungsfähiger. Daher sollten Sie stattdessen PathPing
verwenden. Sie müssen allerdings damit rechnen, dass in der Prüfung auch Fragen zu
Tracert auftauchen.

PathPing können Sie genauso verwenden wie Ping. PathPing versucht, jeden Router zwi-
schen Ihnen und dem Ziel aufzulisten (genau wie Tracert). Dann wendet PathPing einige
Minuten dafür auf, Statistiken für die gesamte Route zu berechnen:
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 55

C:\>pathping www.contoso.com
Routenverfolgung zu contoso.com [10.46.196.103]
über maximal 30 Abschnitte:
0 contoso-test [192.168.1.207]
1 10.211.240.1
2 10.128.191.245
3 10.128.191.73
4 10.125.39.213
5 gbr1-p70.cb1ma.ip.contoso.com [10.123.40.98]
6 tbr2-p013501.cb1ma.ip.contoso.com [10.122.11.201]
7 tbr2-p012101.cgcil.ip.contoso.com [10.122.10.106]
8 gbr4-p50.st6wa.ip.contoso.com [10.122.2.54]
9 gar1-p370.stwwa.ip.contoso.com [10.123.203.177]
10 10.127.70.6
11 10.46.33.225
12 10.46.36.210
13 10.46.155.17
14 10.46.129.51
15 10.46.196.103
Berechnung der Statistiken dauert ca. 625 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 contoso-test [192.168.1.207]
0/ 100 = 0% |
1 50ms 1/ 100 = 1% 1/ 100 = 1% 10.211.24.1
0/ 100 = 0% |
2 50ms 0/ 100 = 0% 0/ 100 = 0% 10.128.19.245
0/ 100 = 0% |
3 50ms 2/ 100 = 2% 2/ 100 = 2% 10.128.19.73
0/ 100 = 0% |
4 44ms 0/ 100 = 0% 0/ 100 = 0% 10.12.39.213
0/ 100 = 0% |
5 46ms 0/ 100 = 0% 0/ 100 = 0% gbr1-p70.cb1ma.ip.contoso.com [10.12.40.98]
0/ 100 = 0% |
6 40ms 2/ 100 = 2% 2/ 100 = 2% tbr2-p013501.cb1ma.ip.contoso.com [10.12.11.201]
0/ 100 = 0% |
7 62ms 1/ 100 = 1% 1/ 100 = 1% tbr2-p012101.cgcil.ip.contoso.com [10.12.10.106]
0/ 100 = 0% |
8 107ms 2/ 100 = 2% 2/ 100 = 2% gbr4-p50.st6wa.ip.contoso.com [10.12.2.54]
0/ 100 = 0% |
9 111ms 0/ 100 = 0% 0/ 100 = 0% gar1-p370.stwwa.ip.contoso.com [10.12.203.177]
0/ 100 = 0% |
10 118ms 0/ 100 = 0% 0/ 100 = 0% 10.12.70.6
0/ 100 = 0% |
11 --- 100/ 100 =100% 100/ 100 =100% 10.46.33.225
0/ 100 = 0% |
12 --- 100/ 100 =100% 100/ 100 =100% 10.46.36.210
0/ 100 = 0% |
56 Kapitel 2: Netzwerk

13 123ms 0/ 100 = 0% 0/ 100 = 0% 10.46.155.17


0/ 100 = 0% |
14 127ms 0/ 100 = 0% 0/ 100 = 0% 10.46.129.51
1/ 100 = 1% |
15 125ms 1/ 100 = 1% 0/ 100 = 0% 10.46.196.103
Ablaufverfolgung beendet.

Hinweis Netzwerkjargon
Der Begriff Abschnitt (engl. hop) ist eine andere Bezeichnung für einen Router oder ein
Gateway. Knoten (engl. node) und Verbindung (engl. link) sind andere Bezeichnungen für
einen Computer beziehungsweise Router. RTT steht für »Round Trip Time«; sie gibt an, wie
lange es dauert, bis ein Paket vom Client zum Ziel gelangt und die Antwort an den Client
zurückgegeben wird.

Zeigen die Statistiken, dass ein einzelner Router eine sehr hohe Latenz hat, verursacht dieser
Knoten unter Umständen Netzwerkprobleme. Normalerweise vergrößert ein Router mit hoher
Latenz die Latenz für alle Router, die danach aufgelistet sind. Aber nur beim ersten Router
besteht ein Problem. Wenn ein Router hohe Latenz hat, aber die dahinter aufgeführten Router
geringe Latenz, ist die Latenz wahrscheinlich kein Anzeichen für ein Problem. Router ver-
arbeiten ICMP-Anforderungen mit geringerer Priorität als anderen Verkehr. Wenn PathPing
daher hohe Latenz zeigt, bedeutet das nicht zwangsläufig, dass die Latenz insgesamt hoch
ist.
Sie können oft anhand des Routernamens feststellen, ob er in Ihrem internen Netzwerk, dem
Netzwerk Ihres Internetproviders (Internet Service Provider, ISP) oder anderswo im Internet
liegt. Sofern er in Ihrem internen Netzwerk oder dem Netzwerk Ihres Internetproviders liegt,
sollten Sie sich an Ihren Netzwerkadministrator wenden und ihn um Hilfe bei der Problem-
behandlung bitten. Wenn der Router woanders im Netzwerk liegt, können Sie wahrschein-
lich nichts anderes tun, als zu warten, bis die Administratoren des Routers das Problem be-
seitigen. Wenn Sie Ihrem Internetprovider das Problem schildern, kann er möglicherweise
Kontakt mit dem anderen Internetprovider aufnehmen und sicherstellen, dass die Probleme
dort bekannt sind. Möglicherweise erhalten Sie auf diese Weise auch eine Schätzung, wann
das Problem beseitigt werden dürfte.
Sie können die Geschwindigkeit von PathPing erhöhen, indem Sie das Argument -d ange-
ben. Dann versucht PathPing nicht, die Namen der dazwischen liegenden Routeradressen
aufzulösen.

PortQry
Ping testet mithilfe von ICMP-Paketen, ob ein Remotecomputer mit dem Netzwerk verbun-
den ist. Aber selbst wenn ein Computer auf ICMP-Pakete antwortet, verrät Ihnen das nicht,
ob auf dem Computer die von Ihnen benötigten Netzwerkdienste laufen. Falls es beispiels-
weise nicht möglich ist, Ihre E-Mails herunterzuladen, müssen Sie testen, ob der Maildienst
selbst antwortet, und nicht, ob der Mailserver auf ICMP-Anforderungen reagiert.
PortQry testet, ob ein bestimmter Netzwerkdienst auf einem Server läuft. Sie verwenden
PortQry, indem Sie eine Eingabeaufforderung öffnen und den folgenden Befehl ausführen:
portqry -n Ziel -e Portnummer
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 57

Zum Beispiel arbeitet HTTP (Hypertext Transfer Protocol) über TCP-Port 80. Ob eine
HTTP-Verbindung zu www.microsoft.com hergestellt werden kann, testen Sie daher, indem
Sie den folgenden Befehl an der Befehlszeile eingeben:
portqry -n www.microsoft.com -e 80
Dieser Befehl liefert Ausgaben, die ähnlich wie hier aussehen:
Querying target system called:
www.microsoft.com
Attempting to resolve name to IP address...
Name resolved to 10.209.68.190
TCP port 80 (http service): LISTENING
Eine Liste gebräuchlicher Portnummern finden Sie im Abschnitt »So führen Sie eine Fehler-
behandlung für Anwendungsverbindungsprobleme durch« weiter unten in dieser Lektion.
Leider ist PortQry in keiner Windows-Version enthalten, auch nicht in Windows 7. Statt-
dessen müssen Sie es von der Adresse http://www.microsoft.com/downloads/details.aspx
?FamilyID=89811747-C74B-4638-A2D5-AC828BDC6983 herunterladen. Wenn Sie Win-
dows 7 bereitstellen, kann es sinnvoll sein, PortQry in den Ordner %WinDir%\System32\
zu kopieren, damit es jederzeit für die Problembehandlung zur Verfügung steht.
Falls Sie mit einem Computer arbeiten, auf dem PortQry nicht installiert ist, können Sie
einen Remotedienst mit dem Telnet-Client testen. Weitere Informationen finden Sie im
Abschnitt »So führen Sie eine Problembehandlung für Anwendungsverbindungsprobleme
durch« weiter unten in dieser Lektion.

Nslookup
Mit Nslookup können Sie testen, ob Ihr DNS-Server einen Hostnamen richtig in eine
IP-Adresse auflöst. Ein Beispiel:
C:\>nslookup contoso.com
Server: dns.fabrikam.com
Address: 192.168.1.1:53
Non-authoritative answer:
Name: contoso.com
Addresses: 207.46.232.182, 207.46.197.32
In diesem Beispiel hat der Client den Standard-DNS-Server (192.168.1.1) kontaktiert und
erfolgreich eine Antwort empfangen, die verrät, dass contoso.com zwei IP-Adressen hat:
207.46.232.182 und 207.46.197.32. Das beweist, dass der DNS-Server richtig arbeitet.

Hinweis Round-Robin-DNS-Adressierung
Manche Hostnamen, zum Beispiel contoso.com und microsoft.com, werden in mehrere
IP-Adressen aufgelöst. Ihr Webbrowser ist so schlau, dass er eine Verbindung zu einer der
anderen Adressen herstellt, falls die erste Adresse nicht richtig funktioniert. So können
mehrere Webserver mit unterschiedlichen IP-Adressen auf Anforderungen nach demselben
Hostnamen reagieren. Das gewährleistet Skalierbarkeit (die Fähigkeit, mehrere parallele
Anforderungen zu verarbeiten) und Redundanz (die Fähigkeit, dass eine Website auch beim
Ausfall eines Servers online bleibt).
58 Kapitel 2: Netzwerk

Die folgende Antwort auf dieselbe Abfrage zeigt, dass der DNS-Server keine IP-Adresse für
den Hostnamen contoso.com findet:
*** dns.fabrikam.com can’t find contoso.com: Non-existent domain
Die folgende Antwort gibt an, dass kein DNS-Server antwortet:
Server: dns.fabrikam.com
Address: 192.168.1.1:53
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to dns.fabrikam.com timed-out
Verwenden Sie Nslookup immer dann, wenn Sie vermuten, dass ein Netzwerkproblem durch
einen ausgefallenen DNS-Server oder eine ungültige Namensauflösung verursacht wird.
Weitere Informationen über Nslookup finden Sie in Lektion 2.

Schnelltest
Mit welchem Tool stellen Sie fest, ob ein Computer mit dem Standardgateway kommuni-
zieren kann?
Antwort zum Schnelltest
Ping ist die schnellste Möglichkeit. Sie können auch PathPing einsetzen, um eine Inter-
netadresse zu überprüfen; es prüft das Standardgateway sowie alle anderen Gateways, die
zwischen Ihnen und dem Ziel liegen.

Problembehandlung für eine APIPA-Adresse


Windows 7 weist eine APIPA-Adresse (Automatic Private IP Addressing) aus dem Bereich
169.254.0.0 bis 169.254.255.255 zu, wenn der Computer so konfiguriert ist, dass er die IP-
Adressen automatisch bezieht, aber kein DHCP-Server erreichbar ist. Mithilfe von APIPA-
Adressen sind Computer in der Lage, Verbindung mit einem LAN herzustellen, auch wenn
sie keinen DHCP-Server erreichen. Allerdings können sie in diesem Fall keine Verbindung
mit Computern aufnehmen, die keine APIPA-Adressen haben.
Hat ein Computer eine APIPA-Adresse, kann dies mehrere Ursachen haben:
„ Der DHCP-Server war zeitweise nicht verfügbar.
„ Der Computer war nicht richtig mit dem Netzwerk verbunden.
„ Der Computer war nicht autorisiert, eine Verbindung mit dem Netzwerk herzustellen.
Wie bei den meisten Konnektivitätsproblemen sollten Sie erst einmal die Windows-Netz-
werkdiagnose zurate ziehen. Falls dies das Problem nicht beseitigt, sollten Sie sicherstellen,
dass der Computer mit dem lokalen Netzwerk verbunden ist und dass die Netzwerkhardware
richtig funktioniert. Gehen Sie dann folgendermaßen vor, um eine IP-Adresse von einem
DHCP-Server abzurufen:
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 59

1. Geben Sie im Suchfeld des Startmenüs cmd ein, klicken Sie mit der rechten Maustaste
oben im Startmenü auf den Eintrag cmd und wählen Sie den Befehl Als Administrator
ausführen. Daraufhin wird eine administrative Eingabeaufforderung geöffnet, die Sie
brauchen, um die IP-Adresse zu erneuern.
2. Führen Sie an der Eingabeaufforderung die beiden folgenden Befehle aus:
ipconfig /release
ipconfig /renew
Der erste Befehl bewirkt, dass Windows 7 die aktuelle IP-Konfiguration zurückgibt (sofern
es eine hat). Der zweite Befehl versucht, Kontakt mit einem DHCP-Server aufzunehmen
und eine neue Konfiguration abzurufen. Falls die Netzwerkkarte noch eine APIPA-Adresse
hat, nachdem Sie diese Befehle ausgeführt haben, und Sie mit dem Netzwerk verbunden
sind, ist der DHCP-Server entweder offline oder er hat entschieden, dass Ihr Computer nicht
berechtigt ist, sich mit dem Netzwerk zu verbinden. Bringen Sie einen DHCP-Server online
und starten Sie den Computer dann neu. Falls das Netzwerk keinen DHCP-Server verwen-
det, sollten Sie eine statische oder alternative IPv4-Adresse konfigurieren, die Ihnen Ihr
Netzwerkadministrator nennt.

Schnelltest
Woran erkennen Sie eine APIPA-Adresse?
Antwort zum Schnelltest
Sie beginnt mit 169.254.

Praxistipp
Tony Northrup
Falls Sie keine Adresse vom DHCP-Server bekommen, aber mit dem Netzwerk verbun-
den zu sein scheinen, können Sie versuchsweise von Hand eine IP-Adresse auf dem Com-
puter eintragen. Melden Sie sich erst an einem Computer an, der einwandfrei im Netzwerk
funktioniert, und notieren Sie sich seine IP-Adresse, Subnetzmaske, Standardgateway und
DNS-Serveradressen. Trennen Sie diesen anderen Computer dann vom Netzwerk oder
schalten Sie ihn vollständig aus. Konfigurieren Sie nun den Computer, dessen Verbin-
dungsprobleme Sie behandeln, so, dass er die IP-Konfiguration des anderen Computers
verwendet. Sofern mit der neuen Konfiguration alles richtig funktioniert, wissen Sie, dass
das Problem lediglich beim DHCP-Server liegt, und nicht bei der Netzwerkinfrastruktur.
Wenn Sie mithilfe dieser Technik festgestellt haben, ob der DHCP-Server die Ursache für
das Problem ist, sollten Sie den Computer sofort wieder so konfigurieren, dass er als
DHCP-Client arbeitet. Zwei Computer im selben Netzwerk dürfen niemals dieselbe IP-
Adresse haben.
60 Kapitel 2: Netzwerk

Behandeln von Verbindungsproblemen


Netzwerkverbindungsprobleme verhindern, dass irgendeine Anwendung auf eine Netzwerk-
ressource zugreifen kann. Dagegen verhindern Anwendungsverbindungsprobleme nur, dass
bestimmte Anwendungen auf Ressourcen zugreifen können. Die meisten Netzwerkverbin-
dungsprobleme werden durch folgende Ursachen ausgelöst (mit abnehmender Wahrschein-
lichkeit):
„ Falsch konfigurierter Netzwerkadapter
„ Falsch konfigurierte Netzwerkhardware
„ Unterbrochene Netzwerkverbindung
„ Defekte Netzwerkkabel
„ Defekter Netzwerkadapter
„ Defekte Netzwerkhardware
Anwendungsverbindungsprobleme werden dagegen meist durch die folgenden Probleme
ausgelöst (von sehr wahrscheinlich bis weniger wahrscheinlich):
„ Der Remotedienst läuft nicht. Wenn Sie beispielsweise versuchen, einen Computer im
Remotezugriff zu steuern, ist auf dem Remotecomputer möglicherweise der Remote-
desktop nicht aktiviert.
„ Der Remoteserver hat eine Firewallkonfiguration, die die Kommunikation dieser
Anwendung vom Clientcomputer blockiert.
„ Eine Firewall zwischen Client- und Servercomputer blockiert die Kommunikation der
Anwendung.
„ Die Windows-Firewall auf dem lokalen Computer ist so konfiguriert, dass sie den
Verkehr der Anwendung blockiert.
„ Der Remotedienst wurde so konfiguriert, dass er eine andere als die standardmäßige
Portnummer verwendet. Zum Beispiel verwenden Webserver normalerweise TCP-Port
80, aber manche Administratoren konfigurieren TCP-Port 81 oder einen anderen Port.
Die folgenden Abschnitte beschreiben, wie Sie Netzwerk- und Anwendungsverbindungs-
probleme beseitigen.

So beseitigen Sie Netzwerkverbindungsprobleme von Hand


Sie können die Ursache eines Verbindungsproblems ohne Hilfe der Windows-Netzwerk-
diagnose identifizieren, indem Sie entsprechend dem folgenden Schema vorgehen und die
Fragen beantworten, bis Sie auf einen anderen Abschnitt verwiesen werden:
1. Klicken Sie auf das Netzwerksymbol in der Taskleiste und wählen Sie den Befehl Netz-
werk- und Freigabecenter öffnen.
„ Falls ein rotes »X«-Symbol über einer Netzwerkverbindung angezeigt wird, können
Sie auf die Verbindung klicken, um die Windows-Netzwerkdiagnose zu starten. Fol-
gen Sie den angezeigten Anleitungen. Falls sich das rote »X« zwischen dem internen
Netzwerk und dem Internet befindet, handelt es sich um ein Problem mit der Internet-
verbindung, nicht mit dem lokalen Computer. Bitten Sie den Netzwerkadministrator
um Hilfe.
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 61

„ Falls keine Netzwerkadapter aufgeführt werden, ist entweder kein Netzwerkadapter


vorhanden, die Netzwerkadapter sind deaktiviert, die Hardware ist defekt oder der
Treiber funktioniert nicht. Aktivieren Sie alle eventuell deaktivierten Netzwerkadap-
ter. Starten Sie den Computer neu, wenn das Problem weiterhin besteht. Falls der
Netzwerkadapter nun immer noch nicht verfügbar ist, sollten Sie das Problem im
Geräte-Manager diagnostizieren. Aktualisieren Sie die Treiber, sofern eine neuere
Version verfügbar ist. Verwenden Sie dazu Microsoft Update oder suchen Sie auf der
Website des Herstellers nach einem Update.
2. Können andere Computer eine Verbindung zum selben Netzwerk herstellen? Falls nicht,
liegt das Problem beim Netzwerk und nicht beim Computer, für den Sie eine Problem-
behandlung durchführen. Bitten Sie den Netzwerkadministrator um Hilfe.
3. Können Sie Verbindungen zu anderen Netzwerkressourcen herstellen? Falls Sie zum
Beispiel im Web surfen, aber keine Verbindung zu einem freigegebenen Ordner herstel-
len können, haben Sie es wahrscheinlich mit einem Anwendungsverbindungsproblem zu
tun. Weitere Informationen finden Sie im Abschnitt »So führen Sie eine Problembehand-
lung für Anwendungsverbindungsprobleme durch« weiter unten in dieser Lektion.
4. Öffnen Sie eine Eingabeaufforderung und führen Sie den Befehl ipconfig /all aus. Sehen
Sie sich die Ausgaben an:
„ Falls der Computer eine IP-Adresse im Bereich 169.254.0.0 bis 169.254.255.255 hat,
ist er so konfiguriert, dass er DHCP-Adressierung verwendet, aber es war kein DHCP-
Server verfügbar. Folgen Sie den Anleitungen im Abschnitt »Problembehandlung für
eine APIPA-Adresse« weiter oben in dieser Lektion.
„ Falls Sie eine gültige IP-Adresse haben, aber kein Standardgateway oder keinen
DNS-Server, wird das Problem durch eine ungültige IP-Konfiguration verursacht.
Sofern der Computer eine über DHCP zugewiesene IP-Adresse hat, sollten Sie von
einer administrativen Eingabeaufforderung aus die Befehle ipconfig /release und
ipconfig /renew ausführen. Wurde der Computer von Hand mit einer IP-Adresse
konfiguriert, bekommen Sie die richtige Konfiguration von einem Netzwerkadminis-
trator.
„ Falls keine Netzwerkadapter aufgelistet werden, hat der Computer entweder über-
haupt keine Netzwerkkarte oder (wahrscheinlicher) es ist kein gültiger Treiber instal-
liert. Identifizieren Sie die Netzwerkkarte im Geräte-Manager und installieren Sie
einen aktualisierten Treiber. Falls die Hardware defekt ist, müssen Sie die Netzwerk-
karte austauschen (oder eine neue Netzwerkkarte einbauen, sofern die bisherige
Netzwerkkarte integriert ist).
„ Falls alle Netzwerkkarten als Medienstatus die Meldung »Medium getrennt« anzei-
gen, ist der Computer nicht physisch mit einem Netzwerk verbunden. Verbinden Sie
den Computer mit einem Kabel- oder Drahtlosnetzwerk. Wenn Sie ein Kabelnetz-
werk haben und trotzdem diesen Fehler erhalten, sollten Sie beide Enden des Netz-
werkkabels abziehen und wieder einstecken. Besteht das Problem weiterhin, sollten
Sie das Netzwerkkabel austauschen. Versuchen Sie, das Netzwerkkabel auf einem
anderen Computer einzustecken und dort eine Verbindung herzustellen. Falls der
neue Computer erfolgreich eine Verbindung herstellt, ist die Netzwerkkarte auf dem
ursprünglichen Computer defekt. Kann keiner der beiden Computer eine Verbindung
62 Kapitel 2: Netzwerk

herstellen, besteht ein Problem mit dem Netzwerkkabel, dem Netzwerkswitch oder
dem Netzwerkhub. Ersetzen Sie die defekte Netzwerkhardware.
„ Falls alle Netzwerkkarten in der Ausgabe des Befehls ipconfig /all die Meldung
»DHCP-Aktiviert: Nein« anzeigen, ist unter Umständen die Netzwerkkarte falsch
konfiguriert. Wenn DHCP deaktiviert ist, hat der Computer eine statische IPv4-
Adresse. Das ist für Clientcomputer eine ungewöhnliche Konfiguration. Ändern Sie
die IPv4-Konfiguration der Netzwerkkarte, sodass die Optionen IP-Adresse auto-
matisch beziehen und DNS-Serveradresse automatisch beziehen ausgewählt sind.
Konfigurieren Sie dann die Registerkarte Alternative Konfiguration im IP-Eigen-
schaftendialogfeld mit der aktuellen statischen IP-Konfiguration.
5. Falls Sie eine gültige IP-Adresse haben und Ihr Standardgateway mit einer Ping-Anfor-
derung erreichen, sollten Sie eine Eingabeaufforderung öffnen und den Befehl nslookup
Servername ausführen. Wenn Nslookup einen gültigen Namen nicht auflösen kann und
keine Antwort anzeigt, die ähnlich aussieht wie im folgenden Beispiel, handelt es sich
um ein Namensauflösungsproblem. Weitere Informationen finden Sie im Abschnitt
»So führen Sie eine Problembehandlung für Namensauflösungsprobleme durch« in
Lektion 2.
C:\>nslookup contoso.com
Non-authoritative answer:
Name: contoso.com
Addresses: 10.46.232.182, 10.46.130.117
Mit diesen Problembehandlungsschritten müssten Sie in der Lage sein, die Ursache für die
meisten Netzwerkprobleme zu identifizieren.

Schnelltest
Welche zwei Befehle führen Sie aus, um eine neue IP-Adresse vom DHCP-Server zu
erhalten?
Antwort zum Schnelltest
ipconfig /release und ipconfig /renew.

So führen Sie eine Fehlerbehandlung für Anwendungsverbindungsprobleme durch


Wenn eine Anwendung (oder ein Netzwerkprotokoll) richtig arbeitet, aber andere nicht,
haben Sie es mit einem Anwendungsverbindungsproblem zu tun. Gehen Sie dann folgen-
dermaßen vor, um eine Problembehandlung durchzuführen:
1. Stellen Sie sicher, dass Sie es nicht mit einem Namensauflösungsproblem zu tun haben,
indem Sie mit Nslookup den Namen des Servers abfragen, zu dem Sie eine Verbindung
herstellen wollen. Wenn Nslookup den Namen nicht auflösen kann, können Sie in Lek-
tion 2 weiterlesen.
2. Oft blockiert eine Firewall die Kommunikation Ihrer Anwendung. Bevor Sie testen kön-
nen, ob das der Fall ist, müssen Sie ermitteln, welches Netzwerkprotokoll und welche
Portnummer die Anwendung benutzt. Tabelle 2.1 listet Portnummern für wichtige An-
wendungen auf. Wenn Sie nicht sicher sind, welche Portnummern Ihre Anwendung ver-
wendet, können Sie im Anwendungshandbuch nachschlagen oder sich an den technischen
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 63

Support wenden. Auch eine Internetsuche nach den Begriffen »<Anwendungsname>


port number« liefert oft die benötigten Portnummern. Manche Administratoren ändern
die Portnummern auf andere als die Standardwerte. In einem solchen Fall müssen Sie
den Administrator nach der richtigen Portnummer fragen.

Tabelle 2.1 Standardports für wichtige Dienste und Aufgaben


Dienstname oder Aufgabe UDP (User Data- TCP (Transmission
gram Protocol) Control Protocol)
Webserver, HTTP und Internetinformationsdienste – 80
(Internet Information Services, IIS)
Webserver, die HTTPS (Hypertext Transfer Protocol – 443
Secure) benutzen
FTP-Server (File Transfer Protocol) 20, 21
DNS-Abfragen 53 53
DHCP-Client 67
Datei- und Druckerfreigabe 137 139, 445
Internet Relay Chat (IRC) 6667
Eingehende E-Mail: Internet Mail Access Protocol 143
(IMAP)
Eingehende E-Mail: IMAP (Secure Sockets Layer 993
[SSL])
Eingehende E-Mail: Post Office Protocol 3 (POP3) 110
Eingehende E-Mail: POP3 (SSL) 995
Ausgehende E-Mail: Simple Mail Transfer Protocol 25
(SMTP)
Verbinden mit einem AD DS-Domänencontroller 389, 53, 88 135, 389, 636, 3268,
(Active Directory Domain Services) 3269, 53, 88, 445
Netzwerkverwaltung: Simple Network Management 161, 162
Protocol (SNMP)
SQL Server 1433
Telnet 23
Terminalserver, Remotedesktop und Remoteunter- 3389
stützung
VMRC-Client (Virtual Machine Remote Control) für 5900
Microsoft Virtual Server 2005 R2

3. Wenn Sie ermittelt haben, welche Portnummern Ihre Anwendung benötigt, können Sie
testen, ob Sie von Hand eine Verbindung zu diesem Port auf dem Server herstellen
können. Handelt es sich um einen TCP-Port, können Sie entweder PortQry oder Telnet
verwenden. Wenn Sie einen TCP-Port mit Telnet testen wollen (bei Bedarf müssen Sie
dazu im Systemsteuerungselement Windows-Funktionen aktivieren oder deaktivieren das
Feature Telnet-Client einschalten), müssen Sie den folgenden Befehl ausführen:
telnet Hostname_oder_Adresse TCP-Port
64 Kapitel 2: Netzwerk

Zum Beispiel stellen Sie mit dem folgenden Befehl fest, ob Sie eine Verbindung zum
Webserver www.microsoft.com (der Port 80 benutzt) herstellen können:
telnet www.microsoft.com 80
Wenn die Eingabeaufforderung gelöscht oder Text vom Remotedienst angezeigt wird, haben
Sie erfolgreich eine Verbindung hergestellt. Das bedeutet, dass es sich nicht um ein Anwen-
dungsverbindungsproblem handelt. Stattdessen haben Sie es möglicherweise mit einem
Authentifizierungsproblem zu tun oder mit einem Problem in der Client- oder Serversoft-
ware.
Falls Telnet meldet »Es konnte keine Verbindung mit dem Host hergestellt werden«, steht
fest, dass es sich tatsächlich um ein Anwendungsverbindungsproblem handelt. Entweder ist
der Server offline oder eine falsch konfigurierte Firewall blockiert den Netzwerkverkehr der
Anwendung. Gehen Sie folgendermaßen vor, um die Problembehandlung fortzusetzen:
1. Stellen Sie sicher, dass der Server online ist, indem Sie eine Verbindung zu einem anderen
Dienst herstellen, der auf demselben Server läuft. Wenn Sie zum Beispiel versuchen,
eine Verbindung zu einem Webserver herzustellen, und wissen, dass auf diesem Server
eine Dateifreigabe aktiviert ist, können Sie versuchen, auf den freigegebenen Ordner
zuzugreifen. Falls Sie eine Verbindung zu einem anderen Dienst herstellen können, han-
delt es sich fast sicher um ein Firewallkonfigurationsproblem auf dem Server. Wenn Sie
nicht wissen, welche anderen Dienste auf dem Server laufen, können Sie beim Server-
administrator nachfragen, ob der Computer einwandfrei läuft.
2. Versuchen Sie, von anderen Computern im selben und dann in anderen Subnetzen eine
Verbindung herzustellen. Wenn Sie von einem Computer im selben Subnetz aus eine
Verbindung bekommen, wird das Problem durch eine Firewall oder ein Anwendungs-
konfigurationsproblem auf Ihrem Computer verursacht. Stellen Sie sicher, dass entweder
für Ihre Anwendung oder für die benutzten Portnummern eine Firewallausnahme erstellt
wurde. (Weitere Informationen finden Sie in Kapitel 5, »Schützen von Clientsystemen«.)
Sofern Sie von einem Clientcomputer in einem anderen Subnetz aus eine Verbindung
bekommen, aber nicht aus demselben Subnetz, filtert wahrscheinlich eine Firewall im
Netzwerk oder auf dem Server den Verkehr, der aus dem Netzwerk Ihres Clients stammt.
Bitten Sie einen Netzwerkadministrator um Hilfe.

Übung Behandeln eines Verbindungsproblems


In dieser Übung untersuchen und beseitigen Sie zwei häufige Netzwerkprobleme.

Übung 1 Ein Netzwerkproblem automatisch reparieren


In dieser Übung führen Sie eine Batchdatei aus, um ein Netzwerkproblem auszulösen. Dieses
Problem untersuchen Sie dann mit der Windows-Netzwerkdiagnose. Diese Übung simuliert
ein Netzwerkproblem auf Ihrem Computer. Bevor Sie die Batchdatei ausführen, sollten Sie
sicherstellen, dass Sie mit dem Netzwerk verbunden sind und auf Netzwerkressourcen zu-
greifen können. Bereiten Sie auch alles so vor, dass keine Daten verloren gehen, wenn Sie
vom Netzwerk getrennt werden. Führen Sie diese Übung nicht auf einem Server oder einem
anderen Computer durch, dessen Ausfall Auswirkungen auf andere Benutzer hat.
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 65

1. Installieren Sie die Übungsdateien von der Begleit-CD auf Ihrem Computer und wech-
seln Sie in den Ordner mit den Übungsdateien für Kapitel 2. Klicken Sie mit der rechten
Maustaste auf die Batchdatei Chapter2-Lesson1-Exercise1.bat und wählen Sie den Be-
fehl Als Administrator ausführen.
2. Ignorieren Sie das Befehlsfenster, das daraufhin erscheint; die Batchdatei simuliert ledig-
lich einen Netzwerkausfall. Nun können Sie sich an die Problembehandlung machen.
3. Öffnen Sie den Internet Explorer und versuchen Sie, sich eine Website anzusehen. Sie
stellen fest, dass das Internet nicht verfügbar ist.
4. Klicken Sie mit der rechten Maustaste auf das Netzwerksymbol in der Taskleiste (es
müsste nun mit einem roten X markiert sein) und wählen Sie den Befehl Netzwerk- und
Freigabecenter öffnen.
5. Das Netzwerk- und Freigabecenter wird geöffnet und zeigt die Netzwerkübersicht an.
6. Klicken Sie in der Netzwerkübersicht auf das rote »X«-Symbol, das anzeigt, dass Sie
nicht mit dem LAN verbunden sind.
7. Folgen Sie den angezeigten Problembehandlungsschritten und versuchen Sie, die vor-
geschlagenen Reparaturen als Administrator ausführen zu lassen. Klicken Sie auf den
angezeigten Lösungsvorschlag, sobald die Windows-Netzwerkdiagnose das Problem
identifiziert hat.
Die Windows-Netzwerkdiagnose beseitigt das Netzwerkproblem. Wie Sie sehen, war
das Vorgehen so simpel, dass jeder Benutzer es selbst erledigen kann. Diese Übung
demonstriert zwar, wie Sie die Windows-Netzwerkdiagnose aus dem Netzwerk- und
Freigabecenter heraus starten, Sie können stattdessen aber auch im Internet Explorer auf
Diagnose von Verbindungsproblemen klicken oder mit der rechten Maustaste auf das
Netzwerksymbol klicken und den Befehl Problembehandlung wählen.

Übung 2 Ein Netzwerkproblem von Hand beseitigen


In dieser Übung führen Sie eine Batchdatei aus, um ein Netzwerkproblem zu erzeugen, und
untersuchen das Problem dann mithilfe der Tools für die manuelle Netzwerkproblembehand-
lung. Diese Übung simuliert ein Netzwerkproblem auf Ihrem Computer. Bevor Sie die Batch-
datei ausführen, sollten Sie sicherstellen, dass Sie mit dem Netzwerk verbunden sind und auf
Netzwerkressourcen zugreifen können. Bereiten Sie auch alles so vor, dass keine Daten ver-
loren gehen, wenn Sie vom Netzwerk getrennt werden. Führen Sie diese Übung nicht auf
einem Server oder einem anderen Computer durch, dessen Ausfall Auswirkungen auf andere
Benutzer hat.
1. Wechseln Sie in den Ordner mit den Übungsdateien für dieses Kapitel. Kopieren Sie die
Datei Chapter2-Lesson1-Exercise2.bat auf Ihren Desktop. Klicken Sie mit der rechten
Maustaste auf die Datei und wählen Sie den Befehl Als Administrator ausführen.
Ignorieren Sie das Befehlsfenster, das daraufhin erscheint; die Batchdatei simuliert ledig-
lich einen Netzwerkausfall. Nun können Sie sich an die Problembehandlung machen.
2. Öffnen Sie eine Eingabeaufforderung und führen Sie den Befehl ipconfig /all aus.
3. Sehen Sie sich die Ausgabe an.
Beachten Sie, dass keine Netzwerkadapter aufgelistet werden. Um das Problem genauer
zu untersuchen, sollten Sie sich die Konfiguration der Netzwerkadapter ansehen.
66 Kapitel 2: Netzwerk

4. Klicken Sie auf das Netzwerksymbol in der Taskleiste (es müsste nun mit einem roten X
markiert sein) und wählen Sie den Befehl Netzwerk- und Freigabecenter öffnen.
5. Klicken Sie im linken Fensterabschnitt auf Adaptereinstellungen ändern.
6. Wie Sie sehen, sind die Netzwerkadapter deaktiviert. Aktivieren Sie jeden Netzwerk-
adapter wieder, indem Sie ihn mit der rechten Maustaste anklicken und den Befehl
Aktivieren wählen.
Warten Sie einige Sekunden, bis der Netzwerkadapter eine neue IP-Adresse abgerufen
hat. Prüfen Sie dann, ob Sie wieder eine Verbindung zum Netzwerk haben.

Zusammenfassung der Lektion


„ Die Windows-Netzwerkdiagnose kann viele häufig vorkommende Netzwerkprobleme
automatisch identifizieren. Die Windows-Netzwerkdiagnose lässt sich an vielen Stellen
starten. Der Benutzer wird oft aufgefordert, sie auszuführen, wenn ein Netzwerkproblem
erkannt wird.
„ Mit Ping können Sie die Verbindung zu einem Remotehost testen. PathPing funktioniert
ähnlich, listet aber auch die Router zwischen Ihnen und dem Remotehost auf. Mit Port-
Qry oder Telnet können Sie feststellen, ob ein Remoteserver Verbindungen an einem
bestimmten Port annimmt. Mit Nslookup können Sie DNS-Namensauflösungsprobleme
untersuchen.
„ Wenn beim Zugriff auf freigegebene Ordner Probleme auftreten, können Sie die Problem-
behandlung entweder auf dem Client oder dem Server durchführen. Meist wird das Pro-
blem dadurch verursacht, dass die Privilegien nicht ausreichen. Es kann aber auch sein,
dass der Server offline ist, die Windows-Firewall die Verbindung blockiert oder eine
Netzwerkfirewall den Netzwerkverkehr filtert.
„ APIPA-Adressen liegen im Bereich 169.254.0.0 bis 169.254.255.255. Falls ein Compu-
ter eine dieser Adressen zugewiesen bekommt, ist er so konfiguriert, dass er eine DHCP-
Adresse erhalten soll, aber es war kein DHCP-Server verfügbar. Sie können dieses Pro-
blem beseitigen, indem Sie sicherstellen, dass ein DHCP-Server online ist, und dann die
DHCP-Konfiguration mit den Befehlen ipconfig /release und ipconfig /renew aktuali-
sieren.
„ Verbindungsprobleme werden entweder durch das Netzwerk oder die Anwendung verur-
sacht. Netzwerkverbindungsprobleme verhindern, dass überhaupt Verkehr ausgetauscht
werden kann. Anwendungsverbindungsprobleme blockieren nur den jeweiligen Verkehr
einer Anwendung. Normalerweise treten Anwendungsverbindungsprobleme auf, weil
auf dem Server keine Windows-Firewallausnahme erstellt wurde oder eine Netzwerk-
firewall die Kommunikation der Anwendung blockiert.

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1, »Pro-
blembehandlung für die Netzwerkkonnektivität«, überprüfen. Die Fragen finden Sie (in eng-
lischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im
Rahmen eines Übungstests beantworten.
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 67

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Microsoft Office Outlook zeigt eine Fehlermeldung an, wenn Sie versuchen, Ihre Mail
herunterzuladen. Sie stellen fest, dass Sie eine Verbindung zu anderen Computern im
Netzwerk herstellen können. Welche Tools sollten Sie verwenden, um festzustellen, ob
der Mailserver auf eingehende E-Mail-Anforderungen antwortet? (Wählen Sie alle zu-
treffenden Antworten aus.)
A. Ping
B. Telnet
C. PortQry
D. PathPing
2. Welche der folgenden IP-Adressen bedeutet, dass ein Clientcomputer keine IP-Adresse
von einem DHCP-Server abrufen konnte und keine alternative Konfiguration hat?
A. 10.24.68.20
B. 127.0.0.1
C. 192.168.22.93
D. 169.254.43.98
3. Es gelingt Ihnen nicht, eine Verbindung zu einem Server im Internet herzustellen. Server
im Intranet erreichen Sie dagegen problemlos. Sie wollen herausfinden, ob Ihr lokaler
Router ausgefallen ist, Probleme bei Ihrem Internetprovider auftreten oder ein anderer
Internetprovider für den Fehler verantwortlich ist. Welche Tools benutzen Sie, um das
Problem am effizientesten einzukreisen? (Wählen Sie alle zutreffenden Antworten aus.)
A. Nslookup
B. Tracert
C. Ipconfig
D. PathPing
68 Kapitel 2: Netzwerk

Lektion 2: Problembehandlung für die Namensauflösung


Computer verwenden IP-Adressen, um andere Computer im Netzwerk zu identifizieren. Men-
schen verwenden dafür normalerweise Hostnamen. Tippt jemand zum Beispiel den Host-
namen www.contoso.com in die Adressleiste des Internet Explorers ein, muss der Internet
Explorer diesen Hostnamen in eine IP-Adresse übersetzen, die beispielsweise 10.32.93.124
lautet.
Probleme bei der Namensauflösung können sich über ganz kleine oder sehr große Bereiche
erstrecken. Ist beispielsweise eine ungültige IP-Adresse im DNS-Cache gespeichert, kann
das bewirken, dass ein Client nicht auf einen bestimmten Server zugreifen kann. Ist dagegen
der DNS-Server offline, führt das zu einem fast völligen Ausfall der Netzwerkkonnektivität
für alle Clients, weil sie keine Verbindung mehr zu den Netzwerkservern herstellen können.
Diese Lektion beschreibt, woran Sie Namensauflösungsprobleme erkennen und wie Sie der-
artige Probleme beseitigen.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Behandeln von Namensauflösungsproblemen mit Nslookup
„ Anzeigen und Löschen des DNS-Cache
Veranschlagte Zeit für diese Lektion: 20 Minuten

So führen Sie eine Problembehandlung für Namensauflösungsprobleme durch


Bevor zwei Computer miteinander kommunizieren können, muss der Client den Hostnamen
des Servers (zum Beispiel www.contoso.com) in eine IP-Adresse übersetzen (zum Beispiel
192.168.10.233 oder die IPv6-Adresse 2001:db8::1). Diese Übersetzung wird als Namens-
auflösung (name resolution) bezeichnet. Meist führt ein DNS-Server die Namensauflösung
durch und gibt die IP-Adresse an den Clientcomputer zurück.
Wie bei den meisten Netzwerkproblemen sollten Sie zuerst einmal die Windows-Netzwerk-
diagnose starten. Wenn dies das Problem nicht beseitigt, sollten Sie überprüfen, ob der Com-
puter mit dem lokalen Netzwerk verbunden ist, und dann folgendermaßen vorgehen:
1. Überprüfen Sie, ob Sie anhand der IP-Adressen Verbindungen zu anderen Computern
herstellen können. Sofern Sie keine Verbindung zu einem Server erhalten, wenn Sie des-
sen IP-Adresse verwenden, ist die Ursache Ihrer Probleme die Netzwerkkonnektivität,
nicht die Namensauflösung. Das können Sie testen, indem Sie eine Eingabeaufforderung
öffnen und den Befehl ipconfig ausführen. Notieren Sie sich das Standardgateway. Ver-
suchen Sie dann, eine Ping-Anforderung an das Standardgateway zu senden. Wenn das
Standardgateway etwa die Adresse 192.168.1.1 hat, können Sie in einer Eingabeauffor-
derung den folgenden Befehl ausführen:
ping 192.168.1.1
Erhalten Sie Antworten, haben Sie definitiv eine Verbindung mit dem Netzwerk und Ihr
Problem hat wahrscheinlich mit der Namensauflösung zu tun. Wenn Sie keine Antwort
erhalten, sind Sie möglicherweise nicht mit dem Netzwerk verbunden. Bevor Sie die
Problembehandlung unter der Annahme fortsetzen, dass es sich um ein Namensauf-
lösungsproblem handelt, sollten Sie sicherstellen, dass der Computer richtig mit dem
lokalen Netzwerk verbunden ist.
Lektion 2: Problembehandlung für die Namensauflösung 69

2. Öffnen Sie eine Eingabeaufforderung und versuchen Sie, mit Nslookup (ein Tool zum
Testen der Namensauflösung) den Hostnamen aufzulösen, zu dem Sie eine Verbindung
herstellen wollen. Das sieht beispielsweise so aus:
nslookup www.microsoft.com
Sehen Sie sich die Ausgabe unter folgenden Gesichtspunkten an:
1. Falls Nslookup den Namen auflöst, ist die Namensauflösung nicht die Ursache des Pro-
blems. Möglicherweise ist der Server offline, eine Firewall blockiert Ihren Verkehr, das
Programm, das Sie verwenden, ist vielleicht falsch konfiguriert oder die Datenbank des
DNS-Servers ist falsch und gibt eine ungültige IP-Adresse zurück.
2. Falls Nslookup nur »DNS request timed out« anzeigt (und den Namen auch später nicht
auflöst), antworten Ihre DNS-Server nicht. Führen Sie Nslookup noch einmal aus, um
sicherzustellen, dass es sich nicht um ein kurzzeitiges Problem handelt. Stellen Sie dann
sicher, dass Ihr Computer die richtigen IP-Adressen für die DNS-Server eingetragen hat.
Sofern die IP-Adressen der DNS-Server richtig sind, sind die DNS-Server oder das
Netzwerk, an das sie angeschlossen sind, offline.

Tipp Ermitteln der richtigen DNS-Serverkonfiguration


Wenn Sie nicht sicher sind, welche Adressen die DNS-Server haben, können Sie die
Konfiguration eines funktionierenden Computers im selben Netzwerk überprüfen.

3. Falls Nslookup die Meldung »Default servers are not available« anzeigt, ist auf dem
Computer kein DNS-Server konfiguriert. Aktualisieren Sie die Netzwerkkonfiguration
auf dem Client mit den IP-Adressen der DNS-Server oder konfigurieren Sie den Com-
puter so, dass er automatisch eine Adresse erhält. DHCP weist Clients praktisch immer
DNS-Server zu.

Praxistipp
Tony Northrup
Hier ein Tipp, wie Sie Namensauflösungsprobleme umgehen können: Falls der DNS-Ser-
ver nicht richtig funktioniert oder ein DNS-Update noch nicht wirksam ist und Sie einen
bestimmten Server anhand seines Namens erreichen müssen, können Sie den Namen und
die IP-Adresse in die Textdatei Hosts des Computers eintragen. Die Datei Hosts (sie hat
keine Dateierweiterung) liegt in %WinDir%\System32\Drivers\Etc\Hosts.
Führen Sie erst auf einem funktionierenden Computer den Befehl nslookup aus, um die
IP-Adresse des Servers zu ermitteln. Fügen Sie diese Daten dann in die Datei Hosts ein.
Sie können die Datei Hosts öffnen, indem Sie den Windows-Editor mit administrativen
Berechtigungen ausführen. Öffnen Sie dann im Editor die Datei %WinDir%\System32\
Drivers\Etc\Hosts (ohne Dateierweiterung). Damit die Namensauflösung ohne DNS
funktioniert, können Sie Zeilen am Ende der Datei Hosts hinzufügen, wie hier für IPv4-
und IPv6-Adressen demonstriert:
192.168.1.10 www.contoso.com
2001:db8::1 mail.fabrikam.com
70 Kapitel 2: Netzwerk

Speichern Sie die Datei Hosts und starten Sie den Webbrowser neu (sofern nötig). Nun
verwendet Windows die IP-Adresse, die Sie angegeben haben, statt eine Abfrage an den
DNS-Server zu schicken. Vergessen Sie nicht, die Zeile aus der Datei Hosts zu löschen,
sobald DNS wieder richtig arbeitet. Andernfalls kann der Benutzer den Server nicht mehr
erreichen, wenn sich seine IP-Adresse ändert.

Verwalten des DNS-Caches


Anwendungen schicken meist mehrere Netzwerkanforderungen an denselben Server. Wenn
Sie beispielsweise Dateien von einem Webserver herunterladen, öffnet Internet Explorer 8
bis zu 6 parallele Verbindungen zum selben Server. Statt dabei 6 DNS-Anforderungen nach
derselben Adresse hintereinander zu senden, speichert Windows das Ergebnis der ersten
Anforderung in einem Cache und greift auf dieses zwischengespeicherte DNS-Ergebnis
zurück, um bei den weiteren Anforderungen die IP-Adresse des Zielservers zu ermitteln.
DNS-Anforderungen werden so zwischengespeichert, dass sie allen Benutzern zur Verfü-
gung stehen. Sie können sich sogar den DNS-Cache ansehen, um herauszufinden, zu wel-
chen Computern andere Benutzer desselben Computers in letzter Zeit eine Verbindung her-
gestellt haben.
Normalerweise brauchen Sie sich nicht um die Verwaltung des DNS-Caches zu kümmern.
Für den Fall, dass ein Eingriff notwendig ist, erfahren Sie in den folgenden Abschnitten, wie
Sie den DNS-Cache anzeigen, löschen und deaktivieren.

Anzeigen des DNS-Caches


Sie zeigen den DNS-Cache an, indem Sie eine Eingabeaufforderung öffnen und den folgen-
den Befehl ausführen:
ipconfig /displaydns
Die Ausgabe zeigt alle Einträge im DNS-Cache an, zusammen mit dem Typ des Eintrags,
seiner TTL (Time To Live) und dem A- oder CNAME-Eintrag, auf den sich der Eintrag be-
zieht. Die TTL legt fest, wie viele Sekunden der Eintrag gültig bleibt. Sie wird vom primären
DNS-Server für den abgefragten DNS-Eintrag bestimmt.
Das folgende Beispiel zeigt die Ausgabe des Befehls ipconfig /displaydns:
Windows-IP-Konfiguration
www.contoso.com
----------------------------------------
Eintragsname . . . . : www.contoso.com
Eintragstyp . . . . . : 1
Gültigkeitsdauer . . : 40724
Datenlänge . . . . . : 4
Abschnitt . . . . . . : Antwort
(Host-)A-Eintrag . . : 10.32.98.220
www.fabrikam.com
----------------------------------------
Eintragsname . . . . : www.fabrikam.com
Eintragstyp . . . . . : 5
Gültigkeitsdauer . . : 11229
Lektion 2: Problembehandlung für die Namensauflösung 71

Datenlänge . . . . . : 4
Abschnitt . . . . . . : Antwort
CNAME-Eintrag . . . . : fabrikam.com

Löschen des DNS Caches


Führen Sie den folgenden Befehl in einer Eingabeaufforderung aus, um den DNS-Cache zu
löschen:
ipconfig /flushdns
Anschließend können Sie ipconfig /displaydns ausführen, um zu überprüfen, ob der DNS-
Cache tatsächlich leer ist. In diesem Fall zeigt Windows 7 die Meldung »Der DNS-Auflö-
sungscache konnte nicht angezeigt werden« an.

Deaktivieren des DNS-Caches


Sie deaktivieren den DNS-Cache, indem Sie den DNS-Clientdienst über den Knoten Dienste
und Anwendungen\Dienste in der Konsole Computerverwaltung beenden oder in einer ad-
ministrativen Eingabeaufforderung den folgenden Befehl ausführen:
net stop dnscache
Wenn Sie den DNS-Clientdienst beenden und neu starten, wird dabei auch der DNS-Cache
gelöscht.

Schnelltest
Mit welchem Befehl leeren Sie den DNS-Cache?
Antwort zum Schnelltest
ipconfig /flushdns

Übung Beseitigen eines Namensauflösungsproblems


In dieser Übung beseitigen Sie ein häufig auftretendes Namensauflösungsproblem.

Übung Beseitigen eines Namensauflösungsproblems


In dieser Übung führen Sie eine Batchdatei aus, um ein Netzwerkproblem auszulösen. Dann
führen Sie eine Problembehandlung mit mehreren Tools durch. Diese Übung simuliert ein
Netzwerkproblem auf Ihrem Computer. Bevor Sie die Batchdatei ausführen, sollten Sie
sicherstellen, dass Sie mit dem Netzwerk verbunden sind und auf Netzwerkressourcen zu-
greifen können. Bereiten Sie auch alles so vor, dass keine Daten verloren gehen, wenn Sie
vom Netzwerk getrennt werden.
1. Wechseln Sie in den Ordner mit den Übungsdateien für dieses Kapitel. Kopieren Sie die
Datei Chapter2-Lesson2-Exercise1.bat auf Ihren Desktop. Klicken Sie mit der rechten
Maustaste auf die Datei und wählen Sie den Befehl Als Administrator ausführen.
Ignorieren Sie das Befehlsfenster, das daraufhin erscheint; die Batchdatei simuliert ledig-
lich einen Netzwerkausfall. Nun können Sie sich an die Problembehandlung machen.
2. Öffnen Sie den Internet Explorer und versuchen Sie, eine Webseite aufzurufen. Sie
stellen fest, dass das Internet nicht verfügbar ist.
72 Kapitel 2: Netzwerk

3. Klicken Sie auf der Fehlerseite, die im Internet Explorer angezeigt wird, auf Diagnose
von Verbindungsproblemen.
Die Windows-Netzwerkdiagnose versucht, das Problem zu identifizieren.
4. Sehen Sie sich an, welches Problem die Windows-Netzwerkdiagnose meldet. Klicken
Sie dann auf Schließen. Das Problem besteht zu diesem Zeitpunkt weiterhin.
5. Öffnen Sie eine Eingabeaufforderung, indem Sie im Startmenü cmd eingeben und die
EINGABETASTE drücken.
6. Geben Sie den Befehl ipconfig /all ein und drücken Sie die EINGABETASTE , um sich
die aktuelle Netzwerkkonfiguration anzusehen.
7. Versuchen Sie, das Standardgateway mit Ping zu erreichen. Es müsste antworten. Daran
erkennen Sie, dass Sie erfolgreich mit Ihrem LAN verbunden sind.
8. Führen Sie den Befehl nslookup www.microsoft.com aus. Wie Sie sehen, antwortet der
DNS-Server nicht. Das kann auf verschiedene mögliche Probleme hindeuten:
„ Der DNS-Server ist offline.
„ Ein Netzwerk, das Ihren Computer mit dem DNS-Server verbindet, ist offline.
„ Auf Ihrem Computer ist die falsche DNS-Serveradresse konfiguriert.
9. Stellen Sie sicher, dass die IP-Adresse des DNS-Servers richtig ist. Sie finden die richti-
ge DNS-Serveradresse in der Datei %WinDir%\System32\Previous_ip_configuration.txt.
Klicken Sie doppelt auf diese Datei und notieren Sie sich die richtige DNS-Serveradres-
se. Normalerweise bekommen Sie diese Adresse von Ihrem Netzwerkadministrator, aber
die Batchdatei, die Sie ausgeführt haben, hat Ihre vorherige Netzwerkkonfiguration auto-
matisch gespeichert.
10. Weil die IP-Adresse des DNS-Servers anders ist, müssen Sie die Adresse korrigieren.
Klicken Sie mit der rechten Maustaste auf das Netzwerksymbol in der Taskleiste und
wählen Sie den Befehl Netzwerk- und Freigabecenter öffnen.
11. Klicken Sie im Netzwerk- und Freigabecenter im Abschnitt Aktive Netzwerke anzeigen
neben der Beschriftung Verbindungen auf den Namen Ihres Netzwerkadapters.
12. Klicken Sie auf Eigenschaften.
13. Wählen Sie den Eintrag Internetprotokoll Version 4 (TCP/IPv4) aus und klicken Sie auf
die Schaltfläche Eigenschaften.
14. Konfigurieren Sie Netzwerkeinstellungen, die denen aus der Datei %WinDir%\System32\
Previous_ip_configuration.txt entsprechen. Wenn Sie DHCP benutzen, müssen Sie die
Option DNS-Serveradresse automatisch beziehen auswählen, damit die Schnittstelle
wieder die DNS-Serverkonfiguration verwendet, die der DHCP-Server liefert.
15. Klicken Sie auf OK und dann zweimal auf Schließen.
16. Kehren Sie zum Internet Explorer zurück und überprüfen Sie, ob Sie nun wieder Zugriff
auf das Internet haben.
Lektion 2: Problembehandlung für die Namensauflösung 73

Zusammenfassung der Lektion


„ Namensauflösungsprobleme treten auf, wenn sowohl der Client als auch der Server
online sind, aber der Client die IP-Adresse des Servers nicht ermitteln kann. Normaler-
weise werden Namensauflösungsprobleme durch eine falsche DNS-Serverkonfiguration
auf dem Client verursacht, durch einen ausgefallenen DNS-Server oder durch einen
DNS-Server, der eine falsche IP-Adresse für den Server gespeichert hat.
„ Verwenden Sie den Befehl ipconfig, um den DNS-Cache anzuzeigen oder zu löschen.
Mit ipconfig /displaydns zeigen Sie den Inhalt des DNS-Caches an. Mit ipconfig
/flushdns löschen Sie den DNS-Cache. Es ist sinnvoll, den DNS-Cache zu löschen,
wenn ein DNS-Eintrag auf dem Server aktualisiert wurde, aber der Client den DNS-
Eintrag vor der Änderung abgefragt hat.

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 2,
»Problembehandlung für die Namensauflösung«, überprüfen. Die Fragen finden Sie (in
englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer
im Rahmen eines Übungstests beantworten.

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Mit welchem Tool stellen Sie fest, ob ein Verbindungsproblem, das bei Ihnen gerade
auftritt, mit der Namensauflösung zu tun hat?
A. Nslookup
B. Ipconfig
C. Ping
D. Netstat
2. Sie versuchen, auf einen Internetwebserver zuzugreifen, erhalten aber die Fehlermel-
dung, »Die Webseite kann nicht angezeigt werden«. Sie ermitteln die IP-Adresse des
Servers auf einem Computer, der an ein anderes Netzwerk angeschlossen ist, und geben
diese Adresse direkt in die Adressleiste des Internet Explorers ein. Diesmal wird die
Webseite angezeigt. Welche Ursachen könnte das Problem haben? (Wählen Sie alle
zutreffenden Antworten aus.)
A. Der DNS-Server ist offline.
B. Die Datei Hosts ist nicht vorhanden.
C. Beim Client ist ein falscher DNS-Server konfiguriert.
D. Der Client hat eine APIPA-Adresse.
3. Ein Benutzer ruft Sie an, weil es ihm nicht gelingt, eine Verbindung zu einem internen
Datenbankserver herzustellen. Nach einer Problembehandlung stellen Sie fest, dass der
Datenbankserver offline ist. Sie nehmen Kontakt mit dem Datenbanksupportteam auf,
das einen Ersatzserver startet. Dieser Ersatzserver hat denselben Hostnamen, aber eine
74 Kapitel 2: Netzwerk

andere IP-Adresse. Sie versuchen, eine Verbindung zum Datenbankserver herzustellen,


aber der Verbindungsversuch schlägt fehl. Anderen Benutzern gelingt es dagegen, eine
Verbindung zum Datenbankserver aufzunehmen. Wie lösen Sie dieses Problem?
A. Führen Sie den Befehl nslookup <Datenbankserver> aus.
B. Führen Sie die Befehle ipconfig /release und ipconfig /renew aus.
C. Führen Sie den Befehl ipconfig /flushdns aus.
D. Führen Sie den Befehl ipconfig /all aus.
Lektion 3: Problembehandlung für Drahtlosnetzwerke 75

Lektion 3: Problembehandlung für Drahtlosnetzwerke


Weil die Benutzeroberfläche von Windows 7 so intuitiv ist und Drahtlosnetzwerkverbindun-
gen über Gruppenrichtlinieneinstellungen in AD DS konfiguriert werden können, treten nur
bei wenigen Benutzern Probleme mit Drahtlosnetzwerkverbindungen auf. Allerdings können
Fehler auftreten, wenn das Funksignal zu schwach ist, Hardware ausfällt oder falsche Sicher-
heitsdaten für das Netzwerk konfiguriert sind. Aus diesem Grund ist die Problembehandlung
für Drahtlosnetzwerke besonders wichtig.
Diese Lektion beschreibt, wie Sie häufige Probleme im Bereich von Drahtlosnetzwerken
untersuchen und beseitigen.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Beschreiben des Zwecks von Drahtlosnetzwerken
„ Herstellen einer Verbindung zu Drahtlosnetzwerken
„ Konfigurieren von Drahtlosnetzwerkprofilen
„ Ändern des Drahtlosnetzwerkprofiltyps, sodass es nicht für alle, sondern nur einen
bestimmten Benutzer gilt
„ Behandeln häufiger Drahtlosnetzwerkprobleme
„ Analysieren von Drahtlosverbindungsproblemen mithilfe der Ereignisanzeige
Veranschlagte Zeit für diese Lektion: 45 Minuten

Grundlagen von Drahtlosnetzwerken


Für die meisten Benutzer sind mobile Computer viel nützlicher, wenn sie mit einem Netzwerk
verbunden sind. Selbst wenn reisende Benutzer nur kurz zwischen zwei Flügen eine Verbin-
dung mit einem Netzwerk aufnehmen können, gibt ihnen dieser Netzwerkzugriff die Gele-
genheit, E-Mails zu senden und zu empfangen, wichtige Nachrichten zu lesen und Dateien
zu synchronisieren.
Viele Flughäfen und Hotels stellen Kabelnetzwerkverbindungen zur Verfügung, die mobile
Benutzer verwenden können. Aber Kabelnetzwerke lassen sich schlecht skalieren, weil für
jeden Benutzer eine eigene Netzwerkbuchse benötigt wird. Außerdem sind Kabelnetzwerk-
buchsen an öffentlichen Orten schwierig zu warten, weil die Drähte brechen können oder die
Buchsen mit diversen Materialien verstopft werden (es dauert meist nicht lang, bis ein Witz-
bold einen Kaugummi in eine Netzwerkbuchse gesteckt hat).
Drahtlosnetzwerke (wireless network) sind dagegen viel effizienter. Ein einziger Drahtlos-
zugriffspunkt (wireless access point) kann einen Radius von bis zu 100 Metern bedienen und
möglicherweise Hunderten von Benutzern den Netzwerkzugriff ermöglichen. Der Drahtlos-
zugriffspunkt kann in einem Schrank physisch geschützt werden, sodass er unbeschädigt
bleibt. Außerdem brauchen die Benutzer keine Ethernetkabel mit sich herumzutragen, um
die Verbindung ins Netzwerk herzustellen.
Aus diesen Gründen und weil Anbieter Geld für den Zugriff auf Drahtlosnetzwerke verlan-
gen können, haben sich öffentliche Drahtlosnetzwerke weit verbreitet (und decken inzwi-
schen viele Innenstadtbereiche völlig ab). Drahtlosnetzwerke sind auch in privaten Netz-
werken sehr beliebt geworden, weil die Benutzer sofort überall zu Hause ins Netzwerk
76 Kapitel 2: Netzwerk

kommen, ohne Ethernetkabel durch die Wände verlegen zu müssen (eine aufwendige Ange-
legenheit). Auch im geschäftlichen Bereich haben sich Drahtlosnetzwerke durchgesetzt, weil
sie es den Benutzern erlauben, ihre mobilen Computer in Konferenzräume, Cafeterias und
andere Orte zu bringen, wo keine Kabelverbindung zur Verfügung steht.
Der wichtigste Vorteil von Drahtlosnetzwerken ist, dass die Benutzer kein Netzwerkkabel
anschließen müssen. Leider ist das auch der größte Nachteil. Drahtlosnetzwerke sind viel
verwundbarer gegen Angriffe als Kabelnetzwerke, weil Angreifer keinen physischen Zugang
zu einem Gebäude brauchen, um Zugriff auf das Netzwerk zu bekommen. Ein Angreifer
kann eine Verbindung zu einem Drahtlosnetzwerk vom Parkplatz, von der Straße oder aus
einem Nachbargebäude herstellen. Glücklicherweise unterstützt Windows 7 Sicherheitstech-
nologien für Drahtlosnetzwerke, die ausreichend Schutz bieten, sodass die Sicherheitsanfor-
derungen der meisten Organisationen erfüllt werden.

Herstellen der Verbindung zu Drahtlosnetzwerken


Es gibt mehrere Wege, Verbindungen zu Drahtlosnetzen herzustellen: von Hand, mit Grup-
penrichtlinien und über Skripts. Die folgenden Abschnitte beschreiben diese Techniken.

Verbindung zu einem Drahtlosnetzwerk, das in Reichweite ist, manuell herstellen


Gehen Sie folgendermaßen vor, um die Verbindung zu einem Drahtlosnetzwerk herzustellen,
das momentan in Reichweite ist:
1. Klicken Sie auf das Netzwerksymbol in der Taskleiste und dann auf den Namen des
Netzwerks, mit dem Sie sich verbinden wollen (Abbildung 2.6). Wenn Sie zum ersten
Mal eine Verbindung zu diesem Netzwerk herstellen und künftig automatisch damit
kommunizieren wollen, können Sie das Kontrollkästchen Verbindung automatisch
herstellen aktivieren und dann auf Verbinden klicken.

Abbildung 2.6 Zwei bis drei Mausklicks genügen,


um eine Verbindung zu einem Drahtlosnetzwerk herzustellen

Hinweis Konfigurieren der Dienste für Drahtlosnetzwerke


Der WLAN-Autokonfigurationsdienst muss laufen, damit Drahtlosnetzwerke zur Ver-
fügung stehen. Dieser Dienst hat in der Standardeinstellung den Starttyp »Automatisch«.
Lektion 3: Problembehandlung für Drahtlosnetzwerke 77

2. Falls sich das Dialogfeld Geben Sie den Netzwerksicherheitsschlüssel ein öffnet (Abbil-
dung 2.7), müssen Sie den Netzwerksicherheitsschlüssel eintippen und auf OK klicken.

Abbildung 2.7 Ist das Drahtlosnetzwerk geschützt,


müssen Sie den Sicherheitsschlüssel eingeben

Windows 7 stellt nun die Verbindung zum Netzwerk her. Wollen Sie die Verbindung zum
Drahtlosnetzwerk wieder trennen, können Sie den beschriebenen Schritten folgen, um
eine Verbindung zu einem anderen Drahtlosnetzwerk aufzubauen. Die Verbindung zu
allen Drahtlosnetzwerken können Sie trennen, indem Sie auf das Netzwerksymbol in der
Taskleiste klicken, den Namen des aktuellen Netzwerks anklicken und dann auf Verbin-
dung trennen klicken.

Ein neues Drahtlosnetzwerkprofil von Hand erstellen


Am einfachsten stellen Sie die Verbindung zu einem Drahtlosnetzwerk her, indem Sie das
Netzwerksymbol in der Taskleiste anklicken, auf das gewünschte Netzwerk klicken und
dann den angezeigten Anweisungen folgen. Das funktioniert aber nur, solange das Drahtlos-
netzwerk momentan in Reichweite ist und eine SSID (Service Set Identifier) aussendet, die
den Namen des Netzwerks bekannt macht. Wenn Sie ein Drahtlosnetzwerk vorkonfigurieren
wollen, sodass Windows 7 später automatisch eine Verbindung dazu aufbauen kann, sobald
es sich in Reichweite befindet, können Sie folgendermaßen vorgehen:
1. Klicken Sie auf das Netzwerksymbol in der Taskleiste und wählen Sie den Befehl Netz-
werk- und Freigabecenter öffnen.
2. Klicken Sie im Netzwerk- und Freigabecenter auf Drahtlosnetzwerke verwalten.
3. Klicken Sie auf Hinzufügen.
4. Der Assistent Manuell mit einem Drahtlosnetzwerk verbinden erscheint. Klicken Sie auf
Ein Netzwerkprofil manuell erstellen.
5. Geben Sie auf der Seite Geben Sie Informationen für das Drahtlosnetzwerk ein, das Sie
hinzufügen möchten (Abbildung 2.8) die erforderlichen Daten ein. Klicken Sie auf Weiter.
6. Klicken Sie auf der letzten Seite auf Schließen.
Sie können Drahtlosnetzwerke auch mithilfe von Gruppenrichtlinieneinstellungen oder
Skripts vorkonfigurieren.
78 Kapitel 2: Netzwerk

Abbildung 2.8 Ein Drahtlosnetzwerk, das momentan nicht


in Reichweite ist, wird von Hand konfiguriert

Praxistipp
Tony Northrup
Als Drahtlosnetzwerke noch neu waren, erzählten manche Sicherheitsexperten den Ad-
ministratoren, sie sollten das SSID-Broadcasting ausschalten, um die Sicherheit zu ver-
bessern. Das klang vernünftig, denn wenn ein Drahtloszugriffspunkt keine SSID aussen-
det, können Clientcomputer ihn nicht automatisch erkennen.
Das Problem ist allerdings, dass es für autorisierte Benutzer viel schwieriger wird, eine
Verbindung zum Drahtlosnetzwerk herzustellen, wenn das SSID-Broadcasting ausge-
schaltet ist. Für einen Angreifer ist das aber schon längst keine Hürde mehr. Die Fähig-
keit, sich mit Drahtlosnetzwerken zu verbinden, die keine SSID aussenden, ist zwar nicht
in das Betriebssystem integriert, aber im Internet stehen kostenlose Tools zur Verfügung,
die Drahtlosnetzwerke sofort erkennen, auch wenn sie keine SSID aussenden.

Herstellen der Verbindung zu Drahtlosnetzwerken


mithilfe von Gruppenrichtlinieneinstellungen
Eine Verbindung zu Drahtlosnetzwerken von Hand einzurichten, funktioniert hervorragend,
solange Sie nur eine kleine Zahl von Computern verwalten. In AD DS-Umgebungen sollten
Sie stattdessen Gruppenrichtlinieneinstellungen verwenden, um Clientcomputer zu konfigu-
rieren. Sie sollten dabei Windows Server 2003 mit Service Pack 1 oder neuer auf Ihren
Domänencontrollern installiert haben, weil Microsoft die Unterstützung für Drahtlos-
Gruppenrichtlinieneinstellungen in Service Pack 1 erweitert hat.
Bevor Sie Drahtlosnetzwerke für Clientcomputer konfigurieren können, die unter Win-
dows XP, Windows Vista oder Windows 7 laufen und mit Domänencontrollern kommuni-
zieren, die eine ältere Version als Windows Server 2008 verwenden, müssen Sie das AD DS-
Lektion 3: Problembehandlung für Drahtlosnetzwerke 79

Schema mithilfe der Datei 802.11Schema.ldf erweitern, die Sie von http://www.microsoft.
com/technet/network/wifi/vista_ad_ext.mspx herunterladen können. Gehen Sie folgender-
maßen vor, um das Schema zu erweitern:
1. Kopieren Sie die Datei 802.11Schema.ldf in einen Ordner auf einem Domänencontroller.
2. Melden Sie sich am Domänencontroller mit den Privilegien eines Domänenadministra-
tors an und öffnen Sie eine Eingabeaufforderung.
3. Wechseln Sie in den Ordner, in dem die Datei 802.11Schema.ldf gespeichert ist, und
führen Sie den folgenden Befehl aus (dabei ist Dist-Name_der_AD-Domäne der definierte
Name der AD DS-Domäne, zum Beispiel »DC=contoso,DC=com« für die AD DS-
Domäne contoso.com):
ldifde -i -v -k -f 802.11Schema.ldf -c DC=X Dist-Name_der_AD-Domäne
4. Starten Sie den Domänencontroller neu.
Wenn Ihre Domänencontroller unter Windows Server 2008 oder einer neueren Version lau-
fen oder wenn Sie bei einer älteren Windows-Version das Schema erweitert haben, können
Sie von einem Windows 7-Clientcomputer aus eine Drahtlosnetzwerkrichtlinie konfigurie-
ren. Gehen Sie dazu folgendermaßen vor:
1. Öffnen Sie das AD DS-Gruppenrichtlinienobjekt (Group Policy Object, GPO) im
Gruppenrichtlinienverwaltungs-Editor.
2. Erweitern Sie Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheits-
einstellungen und klicken Sie dann auf Drahtlosnetzwerkrichtlinien (IEEE 802.11).
3. Wählen Sie den Knoten Drahtlosnetzwerkrichtlinien (IEEE 802.11) aus, klicken Sie ihn
mit der rechten Maustaste an und wählen Sie den Befehl Erstellen Sie eine neue Draht-
losnetzwerkrichtlinie für Windows Vista und neuere Versionen (wenn der Server unter
Windows Server 2008 R2 läuft) beziehungsweise Eine neue Windows Vista-Richtlinie
erstellen (wenn der Server unter einer älteren Windows-Version läuft).
4. Das Eigenschaftendialogfeld für die neue Drahtlosnetzwerkrichtlinie wird geöffnet
(Abbildung 2.9).
5. Sie können ein Infrastrukturnetzwerk hinzufügen, indem Sie auf Hinzufügen und dann
auf Infrastruktur klicken, um die Registerkarte Verbindung im Eigenschaftendialogfeld
des neuen Profils zu öffnen. Geben Sie eine gültige interne SSID im Feld Netzwerk-
name(n) (SSID) ein und klicken Sie auf Hinzufügen. Wiederholen Sie diese Schritte, um
mehrere SSIDs für ein einziges Profil zu konfigurieren. Falls das Netzwerk versteckt ist,
müssen Sie das Kontrollkästchen Verbinden, selbst wenn das Netzwerk keine Kennung
aussendet aktivieren.
6. Klicken Sie im Eigenschaftendialogfeld des neuen Profils auf die Registerkarte Sicher-
heit. Konfigurieren Sie auf dieser Registerkarte die Einstellungen für Authentifizierung
und Verschlüsselung. Klicken Sie auf OK.
Diese Einstellungen konfigurieren Clientcomputer so, dass sie automatisch eine Verbindung
zu Ihren internen Drahtlosnetzwerken herstellen, aber nicht zu anderen Drahtlosnetzwerken.
80 Kapitel 2: Netzwerk

Abbildung 2.9 Konfigurieren von Windows 7-Drahtlos-


netzwerkclients mit Gruppenrichtlinieneinstellungen

Herstellen der Verbindung zu Drahtlosnetzwerken mithilfe von Skripts


Sie können Drahtloseinstellungen auch mit den Befehlen im Kontext netsh wlan des Befehls-
zeilentools Netsh konfigurieren. Auf diese Weise können Sie Skripts erstellen, die Verbin-
dung zu unterschiedlichen Drahtlosnetzwerken (ob verschlüsselt oder nicht) herstellen. Mit
dem folgenden Befehl können Sie sich die verfügbaren Drahtlosnetzwerke anzeigen lassen:
netsh wlan show networks
Schnittstellenname : Drahtlosnetzwerkverbindung
Momentan sind 2 Netzwerke sichtbar
SSID 1 : Nwtraders1
Netzwerktyp : Infrastruktur
Authentifizierung : Offen
Verschlüsselung : Keine
SSID 1 : Nwtraders2
Netzwerktyp : Infrastruktur
Authentifizierung : Offen
Verschlüsselung : WEP
Bevor Sie mit Netsh eine Verbindung zu einem Drahtlosnetzwerk herstellen können, müssen
Sie ein Profil für dieses Netzwerk gespeichert haben. Profile enthalten die SSID und die
Sicherheitsinformationen, die benötigt werden, um sich mit einem Netzwerk zu verbinden.
Falls Sie schon vorher eine Verbindung zu diesem Netzwerk hergestellt haben, hat der Com-
puter ein Profil für dieses Netzwerk gespeichert. Falls ein Computer noch nie eine Verbin-
dung zu einem Drahtlosnetzwerk hergestellt hat, müssen Sie ein Profil speichern, bevor Sie
mit Netsh die Verbindung aufbauen können. Sie können ein Profil auf einem Computer in
einer XML-Datei (Extensible Markup Language) speichern und sie dann an andere Computer
Lektion 3: Problembehandlung für Drahtlosnetzwerke 81

in Ihrem Netzwerk verteilen. Nachdem Sie von Hand die Verbindung zu einem Netzwerk
hergestellt haben, können Sie den folgenden Befehl ausführen, um ein Profil zu speichern:
netsh wlan export profile name="<SSID>"
Bevor Sie die Verbindung zu einem neuen Drahtlosnetzwerk herstellen, können Sie ein Profil
aus einer Datei laden. Das folgende Beispiel demonstriert, wie Sie ein Drahtlosprofil (das in
einer XML-Datei gespeichert ist) aus einem Skript oder in der Befehlszeile erstellen:
netsh wlan add profile filename="C:\profiles\nwtraders1.xml"
Sie können schnell eine Verbindung zu einem Drahtlosnetzwerk herstellen, indem Sie den
Befehl netsh wlan connect eingeben und den Namen eines Drahtlosprofils angeben (das Sie
vorher konfiguriert oder hinzugefügt haben). Die folgenden Beispiele demonstrieren unter-
schiedliche, aber äquivalente Syntaxvarianten zum Herstellen einer Verbindung zu einem
Drahtlosnetzwerk mit der SSID Nwtraders1:
netsh wlan connect Nwtraders1
netsh wlan connect Nwtraders1 interface="Drahtlosnetzwerkverbindung"
Sie brauchen den Schnittstellennamen nur anzugeben, wenn Sie mehrere Drahtlosnetzwerk-
karten haben (was selten vorkommt). Mit dem folgenden Befehl trennen Sie die Verbindun-
gen zu allen Drahtlosnetzwerken:
netsh wlan disconnect
Sie können Skripts und Profile erstellen, um es Ihren Benutzern einfacher zu machen, die
Verbindung zu privaten Drahtlosnetzwerken herzustellen. Im Idealfall ersparen die Skripts
und Profile es Ihren Benutzern, jemals Sicherheitsschlüssel für Drahtlosnetzwerke eintippen
zu müssen.
Sie können mit Netsh auch den Zugriff auf Drahtlosnetzwerke anhand ihrer SSIDs erlauben
oder verbieten. Zum Beispiel erlaubt der folgende Befehl den Zugriff auf ein Drahtlosnetz-
werk mit der SSID Nwtraders1:
netsh wlan add filter permission=allow ssid=Nwtraders1 networktype=infrastructure
Und der folgende Befehl verbietet den Zugriff auf das Drahtlosnetzwerk Contoso:
Netsh wlan add filter permission=block ssid=Contoso networktype=adhoc
Mit der Berechtigung Denyall können Sie den Zugriff auf sämtliche Ad-hoc-Netzwerke
verbieten, wie in diesem Beispiel demonstriert:
netsh wlan add filter permission=denyall networktype=adhoc
Den folgenden Befehl können Sie ausführen, um zu verhindern, dass Windows 7 automa-
tisch eine Verbindung zu Drahtlosnetzwerken herstellt:
netsh wlan set autoconfig enabled=no interface="Drahtlosnetzwerkverbindung"
Netsh hat viele andere Befehle zum Konfigurieren von Drahtlosnetzwerken. Weitere Infor-
mationen erhalten Sie, indem Sie in einer Eingabeaufforderung folgenden Befehl ausführen:
netsh wlan help
82 Kapitel 2: Netzwerk

Ändern der Konfiguration eines Drahtlosnetzwerks


Wenn Sie das Netzwerk erstmals konfiguriert haben, speichert Windows 7 diese Einstellun-
gen für künftige Verbindungen. Falls sich die Konfiguration des Drahtloszugriffspunkts
ändert, können Sie unter Umständen keine Verbindung mehr dazu aufbauen.
Gehen Sie folgendermaßen vor, um die Konfiguration eines Drahtlosnetzwerks zu ändern,
nachdem die ursprüngliche Konfiguration gespeichert wurde:
1. Klicken Sie auf das Netzwerksymbol in der Taskleiste und wählen Sie den Befehl Netz-
werk- und Freigabecenter öffnen.
2. Klicken Sie im Netzwerk- und Freigabecenter auf Drahtlosnetzwerke verwalten.
3. Klicken Sie mit der rechten Maustaste auf das Netzwerk, dessen Konfiguration Sie ver-
ändern wollen, und wählen Sie den Befehl Eigenschaften.
Das Dialogfeld Eigenschaften für Drahtlosnetzwerk wird geöffnet.
4. Wie in Abbildung 2.10 gezeigt, können Sie auf der Registerkarte Verbindung einstellen,
ob Windows 7 automatisch eine Verbindung mit dem Netzwerk herstellt, wenn es sich in
Reichweite befindet (sofern noch keine andere Drahtlosverbindung vorhanden ist).

Abbildung 2.10 Auf der Registerkarte Verbindung im Dialogfeld


Eigenschaften für Drahtlosnetzwerk ändern Sie die Einstellungen für
den automatischen Verbindungsaufbau

5. Wie in Abbildung 2.11 zu sehen, können Sie auf der Registerkarte Sicherheit die Sicher-
heits- und Verschlüsselungstypen einstellen. Je nach Sicherheitstyp zeigt Windows 7
jeweils andere Optionen in diesem Dialogfeld an.
6. Klicken Sie auf OK.
Lektion 3: Problembehandlung für Drahtlosnetzwerke 83

Abbildung 2.11 Ändern der Sicherheitseinstellungen


im Dialogfeld Eigenschaften für Drahtlosnetzwerk

Wenn Sie die Konfiguration der Netzwerkverbindung geändert haben, sollten Sie versuchen,
erneut eine Verbindung zum Netzwerk herzustellen, um Ihre Einstellungen zu überprüfen.
Stattdessen können Sie auch im Fenster Drahtlosnetzwerke verwalten mit der rechten Maus-
taste auf ein Drahtlosnetzwerk klicken und den Befehl Netzwerk entfernen wählen. Nach
dem Deinstallieren des Netzwerks können Sie erneut eine Verbindung zu diesem Netzwerk
herstellen; das Netzwerk wird nun so behandelt, als wäre es neu.

Ändern der Prioritäten für Drahtlosnetzwerke


An vielen Standorten stehen mehrere Drahtlosnetzwerke gleichzeitig zur Verfügung. Wenn
Ihr Büro zum Beispiel über einem Internetcafé liegt, haben Sie wahrscheinlich die Wahl, ob
Sie eine Verbindung mit Ihrem Büronetzwerk oder dem öffentlichen Drahtlosnetzwerk des
Internetcafés herstellen wollen. Noch komplexer wird die Angelegenheit, wenn Sie explizit
das Drahtlosnetzwerk des Internetcafés benutzen wollen, während sie nicht im Büro sind,
und sonst immer Ihr Bürodrahtlosnetzwerk.
Um sicherzustellen, dass Sie sich mit dem richtigen Netzwerk verbinden, wenn mehrere
Drahtlosnetzwerke verfügbar sind, können Sie den Drahtlosnetzwerken Prioritäten zuweisen.
Gehen Sie folgendermaßen vor, um die Priorität von Drahtlosnetzwerken festzulegen:
1. Klicken Sie auf das Netzwerksymbol in der Taskleiste und wählen Sie den Befehl Netz-
werk- und Freigabecenter öffnen.
2. Klicken Sie im Netzwerk- und Freigabecenter auf Drahtlosnetzwerke verwalten.
3. Wählen Sie im Fenster Drahtlosnetzwerke verwalten ein Drahtlosnetzwerkprofil aus und
verschieben Sie es mit den Schaltflächen nach oben oder unten in der Liste.
Wenn mehrere Netzwerke verfügbar sind, stellt Windows 7 immer eine Verbindung zu dem
Netzwerk her, das weiter oben in der Liste steht.
84 Kapitel 2: Netzwerk

Sicherheit in Drahtlosnetzwerken
Viele Drahtlosnetzwerke laufen unverschlüsselt und ohne Authentifizierung. Ihnen fehlen
somit jegliche Sicherheitsfeatures. Kabelnetzwerke sind normalerweise auch unverschlüsselt
(zumindest auf Schicht 2), aber das ist nicht schlimm, weil ein Angreifer physischen Zugriff
benötigt, um ein Ethernetkabel an das Netzwerk anzuschließen, und die meisten Organisatio-
nen haben etwas dagegen, dass Fremde in ihre Büros spazieren. Bei einem Drahtlosnetzwerk
kann ein Angreifer dagegen eine Verbindung mit dem Netzwerk der Organisation herstellen,
während er im Empfang, auf dem Parkplatz oder sogar in einem Nachbargebäude sitzt.

Praxistipp
Tony Northrup
Wenn jemand das Internet nutzt, um ein Verbrechen zu begehen, haben die Ermittler als
Beweis für die Identität des Verdächtigen meist seine IP-Adresse in der Hand. Wenn die
IP-Adresse vorliegt, können die Ermittler den Internetprovider zwingen, die Daten des
Kunden herauszugeben, dem diese IP-Adresse zum Zeitpunkt des Verbrechens zugewie-
sen war.
Viele Möchtegern-Kriminelle wissen das und vermeiden es bei kriminellen Tätigkeiten,
eine persönliche Internetverbindung zu benutzen. Oft suchen sie sich ein ungeschütztes
Drahtlosnetzwerk, das Internetzugriff bietet, und verwenden einfach diese Verbindung.
Wenn die Ermittler dann nachforschen, landen sie beim Besitzer des Drahtlosnetzwerks
statt beim Kriminellen. Wenn Sie also ein Drahtlosnetzwerk ungeschützt lassen, helfen
Sie unter Umständen einem Kriminellen, unerkannt zu entkommen.

Um zumindest minimalen Schutz zu bieten, brauchen Drahtlosnetzwerke sowohl Authenti-


fizierung (damit nur autorisierte Computer eine Verbindung herstellen dürfen) als auch Ver-
schlüsselung (damit Angreifer nicht den Netzwerkverkehr lesen können). Alle Sicherheits-
standards für Drahtlosnetzwerke bieten sowohl Authentifizierung als auch Verschlüsselung,
aber manche sind sicherer als andere.
Windows 7 unterstützt folgende Sicherheitsstandards für Drahtlosnetzwerke:
„ Keine Sicherheit Viele Drahtloszugriffspunkte für Privatanwender sind in der Stan-
dardeinstellung so konfiguriert, dass Drahtlosnetzwerke ohne Sicherheit aktiviert sind.
Folglich sind ungeschützte Drahtlosnetzwerke recht häufig. Wenn keine Sicherheit erfor-
derlich ist, wird es sehr bequem, sich mit dem Netzwerk zu verbinden: Der Benutzer
braucht keine Passphrasen oder Schlüssel anzugeben. Aber die Gefahren sind groß. Jeder
innerhalb eines gewissen Abstands vom Drahtloszugriffspunkt kann eine Verbindung
dazu herstellen und sie unter Umständen missbrauchen. Außerdem können Angreifer den
gesamten Verkehr lesen, der mit dem Drahtloszugriffspunkt ausgetauscht wird, darunter
E-Mails, Instant Messaging und jeglichen anderen unverschlüsselten Verkehr. Die meisten
modernen Drahtlosnetzwerke, die auf Drahtlossicherheit verzichten, zwingen den Be-
nutzer, sich beim Drahtloszugriffspunkt zu authentifizieren, sobald er eine Verbindung
zum Drahtlosnetzwerk hergestellt hat.
„ Wired Equivalent Protection (WEP) WEP steht entweder als 64- oder 128-Bit-Ver-
schlüsselung zur Verfügung. Es war der ursprüngliche Sicherheitsstandard für Drahtlos-
netzwerke. Es wird auch heute noch verwendet, weil es umfassend unterstützt wird.
Lektion 3: Problembehandlung für Drahtlosnetzwerke 85

Praktisch jedes Betriebssystem, jeder Drahtloszugriffspunkt, jede Drahtlos-Bridge und


alle anderen Drahtlosnetzwerkgeräte (etwa Drucker und Media-Extender) unterstützen
WEP. Auch wenn WEP Schutz bietet, der besser ist als gar keine Sicherheit, lässt es sich
von einem erfahrenen Angreifer leicht knacken. 128-Bit-WEP bietet deutlich besseren
Schutz als 64-Bit-WEP, aber beide lassen sich innerhalb weniger Minuten überwinden.
WEP ist aber immer noch besser als gar keine Sicherheit. Es kann zumindest verhindern,
dass jeder beliebige Benutzer Ihr Netzwerk missbraucht.
„ Wi-Fi Protected Access (WPA) WPA ist der Nachfolger von WEP und bietet deutlich
besseren Schutz. WPA wird aber nicht so universell unterstützt wie WEP. Falls Sie also
Drahtlosclients oder Drahtlosgeräte haben, die WPA nicht beherrschen, müssen Sie sie
unter Umständen aktualisieren, um die WPA-Unterstützung nachzurüsten. Windows 7
unterstützt sowohl WPA-Personal als auch WPA-Enterprise:
† WPA-PSK (für vorinstallierte Schlüssel), auch als WPA-Personal bezeichnet, ist
für private Umgebungen gedacht. Bei WPA-PSK muss ein Benutzer eine 8 bis 63
Zeichen lange Passphrase in jeden Drahtlosclient eingeben. WPA konvertiert die
Passphrase in einen 256-Bit-Schlüssel.
† WPA-EAP (Extensible Authentication Protocol), auch als WPA-Enterprise bezeich-
net, benötigt einen Backendserver, auf dem die Authentifizierung mit RADIUS
(Remote Authentication Dial-In User Service) vorgenommen wird. Der RADIUS-
Server kann dann den Benutzer in AD DS authentifizieren oder anhand eines Zerti-
fikats überprüfen. WPA-EAP ermöglicht eine sehr flexible Authentifizierung, und
Windows 7 bietet den Benutzern die Möglichkeit, eine Smartcard zu verwenden, um
die Verbindung mit einem WPA-Enterprise-geschützten Netzwerk herzustellen.
„ WPA2 WPA2 (auch als IEEE 802.11i bezeichnet) ist eine aktualisierte Version von
WPA, die bessere Sicherheit und mehr Schutz vor Angriffen bietet. Wie WPA steht auch
WPA2 als WPA2-PSK und WPA2-EAP zur Verfügung.
„ Offen bei 802.1X 802.1X ist ein Verfahren für die Netzwerkauthentifizierung, das
üblicherweise für Kabelnetzwerke eingesetzt wird. Wenn Netzwerkadministratoren bei
einem Kabelnetzwerk die 802.1X-Authentifizierung erzwingen, kommuniziert der Netz-
werk-Switch mit einem Authentifizierungsserver, sobald ein neuer Benutzer ein Ethernet-
kabel an das Netzwerk anschließt. Sofern der Benutzer authentifiziert wird, erlaubt der
Switch ihm Zugriff auf das Netzwerk. Bei der Drahtlossicherheitseinstellung Offen bei
802.1X erfordert der Drahtloszugriffspunkt keinerlei Verschlüsselung. Sobald ein Draht-
losclient aber eine Verbindung zum Netzwerk hergestellt hat, muss der Computer sich
mit 802.1X authentifizieren, damit ihm der Netzwerkzugriff gewährt wird. Dieser
Sicherheitstyp erfordert Authentifizierung, aber keine Verschlüsselung.
Windows 7 und Windows Vista bieten integrierte Unterstützung für WEP, WPA und WPA2.
Windows XP kann WPA und WPA2 unterstützen, wenn Updates installiert werden, die auf
microsoft.com zur Verfügung stehen. Neuere Versionen von Linux und Mac OS sowie viele
mobile Geräte bieten Unterstützung für WEP, WPA und WPA2.
86 Kapitel 2: Netzwerk

Schnelltest
Welches ist die sicherste Methode der Drahtlossicherheit?
Antwort zum Schnelltest
WPA2-EAP

Konfigurieren von WPA-EAP-Sicherheit


Die statischen Schlüssel, die in WEP und WPA-PSK benutzt werden, sind in Unternehmens-
umgebungen unmöglich zu verwalten. Wenn ein Mitarbeiter das Unternehmen verlässt, müs-
sen Sie den Schlüssel für den Drahtloszugriff ändern, damit dieser Ex-Mitarbeiter nicht mehr
auf das Netzwerk zugreifen kann. Dann müssen Sie jeden einzelnen Drahtlosclientcomputer
in Ihrer Organisation aktualisieren.
Wie Sie wissen, steht das »EAP« in WPA-EAP für Extensible Authentication Protocol (er-
weiterbares Authentifizierungsprotokoll). Weil es erweiterbar ist, können Sie die Authenti-
fizierung über unterschiedliche Methoden durchführen:
„ PEAP-MS-CHAPv2 ermöglicht es den Benutzern, die Verbindung zu einem Drahtlos-
netzwerk mit ihren Domänenanmeldeinformationen herzustellen.
„ Zertifikate, die auf den Computern der Benutzer gespeichert sind
„ Zertifikate, die auf Smartcards gespeichert sind
Windows 7 verwendet immer denselben Authentifizierungsprozess, unabhängig davon,
welche Authentifizierungsmethode Sie wählen. Wie in Abbildung 2.12 zu sehen, gibt der
Drahtlosclientcomputer die Anmeldeinformationen an den Drahtloszugriffspunkt weiter, der
sie wiederum an einen RADIUS-Server übergibt, der den Benutzer schließlich in AD DS
authentifiziert. Abbildung 2.12 führt zwar den RADIUS-Server und den Domänencontroller
als getrennte Server auf, aber Sie können beide Dienste auf demselben Computer installieren.

Abbildung 2.12 WPA benutzt einen RADIUS-Server für die Authentifizierung

Windows Server 2008 enthält den Netzwerkrichtlinienserver (Network Policy Server, NPS),
der als RADIUS-Server agiert und eng in AD DS integriert ist. Wenn Sie NPS konfigurieren,
können Sie eine Domänensicherheitsgruppe angeben, die Zugriff auf das Drahtlosnetzwerk
erhält. Aus diesem Grund sollten Sie eine Gruppe speziell für Benutzer zu erstellen, die
berechtigt sind, auf das Drahtlosnetzwerk zuzugreifen.
Lektion 3: Problembehandlung für Drahtlosnetzwerke 87

Weitere Informationen Mehr über NPS


Weil sich diese Zertifizierungsprüfung auf Windows 7 konzentriert, befasst sie sich nicht der
Konfiguration eines RADIUS-Servers. Weitere Informationen, wie Sie NPS mit Windows
Server 2008 konfigurieren, finden Sie in den Kapiteln 14 bis 19 von Microsoft Windows
Server 2008 – Networking und Netzwerkzugriffsschutz von Joseph Davies und Tony Northrup
(Microsoft Press, 2008).

Wenn Sie eine Verbindung zu einem neuen WPA-EAP- oder WPA2-EAP-Netzwerk herstel-
len, ist Windows 7 in der Standardeinstellung so konfiguriert, dass die Authentifizierungs-
methode »Gesichertes Kennwort (EAP-MSCHAP v2)« verwendet wird. Die Benutzer können
sich daher mit ihren Domänenanmeldeinformationen authentifizieren. Wenn die Benutzer
sich mit einem Zertifikat authentifizieren sollen (entweder auf dem lokalen Computer oder
einer Smartcard gespeichert), können Sie ein Drahtlosnetzwerkprofil für das Netzwerk er-
stellen, indem Sie die Standardeinstellungen als Ausgangsbasis verwenden und dann die
Drahtlosnetzwerksicherheit folgendermaßen konfigurieren:
1. Klicken Sie auf das Netzwerksymbol in der Taskleiste und wählen Sie den Befehl Netz-
werk- und Freigabecenter öffnen.
2. Klicken Sie im Netzwerk- und Freigabecenter auf Drahtlosnetzwerke verwalten.
3. Klicken Sie mit der rechten Maustaste auf das Netzwerk und wählen Sie den Befehl
Eigenschaften. Klicken Sie auf die Registerkarte Sicherheit.
4. Klicken Sie auf Wählen Sie eine Methode für die Netzwerkauthentifizierung aus und
wählen Sie den Eintrag Microsoft: Smartcard- oder anderes Zertifikat (Abbildung 2.13).

Abbildung 2.13 Sie müssen die Eigenschaften eines


Drahtlosnetzwerkprofils manuell bearbeiten, wenn ein
Zertifikat für die Authentifizierung verwendet wird
88 Kapitel 2: Netzwerk

Hinweis Smartcards erzwingen


Beachten Sie, dass das Kontrollkästchen Für diese Verbindung eigene Anmeldeinforma-
tionen für jede Anmeldung speichern standardmäßig aktiviert ist. Wollen Sie, dass die
Benutzer ihre Smartcards jedes Mal einlegen müssen, wenn Sie die Verbindung zum
Netzwerk herstellen, müssen Sie dieses Kontrollkästchen deaktivieren.

5. Klicken Sie auf Einstellungen. Wird das Zertifikat auf dem lokalen Computer gespei-
chert, müssen Sie im Feld Beim Herstellen der Verbindung die Option Zertifikat auf
diesem Computer verwenden auswählen (Abbildung 2.14). Wenn Sie Smartcards ver-
wenden, müssen Sie die Option Eigene Smartcard verwenden auswählen.

Abbildung 2.14 Sie können auswählen, ob ein Zertifikat auf dem


lokalen Computer oder auf einer Smartcard gespeichert wird

Hinweis Überprüfen von Servern


Beachten Sie, dass in der Standardeinstellung das Kontrollkästchen Serverzertifikat
überprüfen aktiviert ist. So ist sichergestellt, dass der RADIUS-Server ein Zertifikat
von einer vertrauenswürdigen Zertifizierungsstelle hat, bevor die Anmeldeinformationen
gesendet werden. Das ist wichtig, weil Sie Ihre Anmeldeinformationen nicht an einen
böswilligen Server senden dürfen, der sie dann missbrauchen könnte. Allerdings weist
der Client den RADIUS-Server ab, wenn der RADIUS-Server ein Zertifikat von einer
Unternehmenszertifizierungsstelle hat (oder einer anderen Zertifizierungsstelle, die nicht
in der Standardeinstellung als vertrauenswürdig eingestuft ist) und der Clientcomputer
noch keine Verbindung zur Domäne hergestellt hat, seit die Unternehmenszertifizierungs-
stelle zur Domäne hinzugefügt wurde. Sie können dieses Problem umgehen, wenn Sie
das erste Mal eine Verbindung zu einer Domäne herstellen (danach vertraut der Client-
computer ja der Unternehmenszertifizierungsstelle), indem Sie das Kontrollkästchen
Lektion 3: Problembehandlung für Drahtlosnetzwerke 89

Serverzertifikat überprüfen deaktivieren, die Verbindung zum Drahtlosnetzwerk und der


Domäne herstellen und danach das Kontrollkästchen Serverzertifikat überprüfen wieder
aktivieren.

6. Klicken Sie zweimal auf OK.


Wenn der Benutzer das nächste Mal eine Verbindung über dieses Profil herstellt, versucht
Windows 7, automatisch ein passendes Zertifikat zu finden. Falls es keines findet oder falls
der Benutzer eine Smartcard einlegen muss, fordert Windows 7 den Benutzer auf, ein Zerti-
fikat auszuwählen.

Konfigurieren von Drahtlosnetzwerkprofiltypen


Die meisten mobilen Computer werden nur von einem einzigen Benutzer verwendet. Wenn
in Ihrer Organisation allerdings mobile Computer von mehreren Benutzern gemeinsam ver-
wendet werden, ist es sinnvoll, die Drahtlosnetzwerke so zu konfigurieren, dass sie benutzer-
spezifische Profile verwenden. Mit benutzerspezifischen Profilen kann ein Benutzer eine
Verbindung zu einem Drahtlosnetzwerk herstellen, ohne dass andere Benutzer in der Lage
sind, dieselbe Drahtlosnetzwerkverbindung zu nutzen.
Benutzerspezifische Drahtlosprofile sind beispielsweise wichtig, wenn ein Benutzer ein
gemeinsam genutztes Notebook so konfiguriert, dass es eine Verbindung zu seinem privaten
Drahtlosnetzwerk herstellt. Wenn wie in der Standardkonfiguration gemeinsame Profile für
alle Benutzer verwendet werden, kann jeder andere Benutzer dieses Computers zum Haus
des ursprünglichen Benutzers gehen und eine Verbindung zum dortigen Drahtlosnetzwerk
herstellen, ohne den Sicherheitsschlüssel eingeben zu müssen. Das gilt auch, wenn das
Drahtlosnetzwerk Sicherheitsmaßnahmen verwendet.
Gehen Sie folgendermaßen vor, um ein Drahtlosprofil so zu konfigurieren, dass es nicht für
alle Benutzer gilt, sondern benutzerspezifisch verwaltet wird:
1. Klicken Sie auf das Netzwerksymbol in der Taskleiste und wählen Sie den Befehl Netz-
werk- und Freigabecenter öffnen.
Das Netzwerk- und Freigabecenter wird geöffnet.
2. Klicken Sie im linken Fensterabschnitt auf Drahtlosnetzwerke verwalten.
a. Klicken Sie auf Profiltypen.
b. Wählen Sie im Dialogfeld Drahtlosnetzwerkprofiltyp die Option Profile für alle
Benutzer und benutzerspezifische Profile verwenden aus (Abbildung 2.15).
c. Klicken Sie auf Speichern.
Wenn Sie benutzerspezifische Profile aktiviert haben, bleiben alle bereits vorhandenen Draht-
losprofile für alle Benutzer verfügbar. Aber wenn Sie das nächste Mal eine Verbindung zu
einem neuen Drahtlosnetzwerk herstellen, lässt Windows 7 Sie auswählen, wie das Draht-
losnetzwerkprofil gespeichert werden soll. Wenn Sie ein vorhandenes Drahtlosnetzwerkprofil
von einem Profil für alle Benutzer in ein benutzerspezifisches Profil konvertieren wollen,
müssen Sie es löschen und dann neu erstellen. Eine der unangenehmen Nebenwirkungen
von benutzerspezifischen Drahtlosprofilen ist, dass der Computer die Verbindung vom Draht-
losnetzwerk trennt, wenn sich ein Benutzer abmeldet.
90 Kapitel 2: Netzwerk

Abbildung 2.15 Benutzerspezifische Drahtlosprofile verhindern, dass


Benutzer Drahtlosverbindungskonfigurationen gemeinsam verwenden

Behandeln häufiger Drahtlosnetzwerkprobleme


Sobald Sie mit einem Drahtlosnetzwerk verbunden sind, können Sie dieselben Problem-
behandlungstechniken einsetzen, die Sie auch bei einem Kabelnetzwerk verwenden. Draht-
losnetzwerke erfordern aber ganz andere Problembehandlungstechniken während der Phase
des Verbindungsaufbaus. Die häufigsten Probleme sind:
„ Netzwerkkarte erkennt keine Drahtlosnetzwerke Wenn Ihre Netzwerkkarte über-
haupt keine Drahtlosnetzwerke erkennt, obwohl welche verfügbar sind, ist die Netz-
werkkarte möglicherweise auf Hardwareebene ausgeschaltet. Die meisten mobilen Com-
puter haben entweder einen speziellen Hardwareschalter oder eine Tastenkombination,
die das WLAN ein- und ausschaltet. Wie Sie in Abbildung 2.16 sehen, erkennt die Win-
dows-Netzwerkdiagnose diese Bedingung richtig.

Abbildung 2.16 Eines der häufigsten Drahtlosprobleme:


WLAN wurde auf der Hardwareebene ausgeschaltet
Lektion 3: Problembehandlung für Drahtlosnetzwerke 91

Sie sollten auch mit dem Geräte-Manager sicherstellen, dass Ihre Drahtlosnetzwerkkarte
erkannt wurde und einen gültigen Treiber hat. Sie können den Geräte-Manager öffnen,
indem Sie im Startmenü den Befehl devmgmt.msc eingeben und die EINGABETASTE
drücken. Erweitern Sie den Knoten Netzwerkadapter. Falls der WLAN-Adapter ausge-
schaltet ist, erkennt Windows 7 den Adapter trotzdem. Es kann ihn nur nicht benutzen.
„ Schwaches Funksignal Je weiter Sie sich vom Drahtloszugriffspunkt entfernen, desto
schwächer wird das Signal. Und je schwächer das Signal, desto langsamer das Netzwerk.
Sie können aber einige Maßnahmen ergreifen, um die Reichweite eines Funksignals zu
erhöhen:
† Stellen Sie den Drahtloszugriffspunkt nicht in der Nähe von Metallschränken, Com-
putern oder anderen Objekten auf, die unter Umständen das Funksignal abschirmen.
† Wenn Sie versuchen, von außen eine Verbindung herzustellen, sollten Sie Fliegen-
gitter aus Metall entfernen. Solche Gitter schirmen das Funksignal zwar nicht völlig
ab, verursachen aber erhebliches Rauschen.
† Verstellen Sie die Antenne des Drahtloszugriffspunkts. Sie bekommen den besten
Empfang, wenn jemand langsam die Antenne des Drahtloszugriffspunkts verschiebt,
während eine zweite Person die Signalstärke auf einem Computer an der gewünsch-
ten Position überwacht.
† Verwenden Sie eine Verstärkerantenne oder Richtantenne. Normale omnidirektionale
Antennen senden relativ gleichmäßig in alle Richtungen. Richtantennen konzentrie-
ren sich auf einen bestimmten Bereich. Wenn Sie einen bestimmten Bereich ab-
decken wollen, sollten Sie eine Richtantenne passend platzieren. Manche Drahtlos-
netzwerkadapter unterstützen auch Verstärkerantennen. Die besten Ergebnisse erhal-
ten Sie, wenn Sie sowohl auf dem Drahtloszugriffspunkt als auch dem Computer
Richtantennen verwenden.

Hinweis Verwenden einer Richtantenne


Viele Leute glauben fälschlicherweise, dass Richtantennen leistungsfähiger sind. Die
Antenne selbst kann die Leistung nicht verstärken, das wird vom Sender innerhalb
des Drahtloszugriffspunkts gesteuert. Die Antenne steuert allerdings die Richtung
des Signals. Richtantennen konzentrieren die Sendeleistung in einer bestimmten
Richtung, sodass in manchen Bereichen ein stärkeres Signal ankommt als in anderen.

† Erhöhen Sie die Sendeleistung. Viele Drahtloszugriffspunkte erlauben Ihnen, die


Sendeleistung zu konfigurieren. Die Standardeinstellung ist zwar normalerweise
bereits der Maximalwert, aber unter Umständen hat ein anderer Administrator die
Sendeleistung verringert.
† Erhöhen Sie die Sendeleistung auf dem Clientcomputer. Alle Netzwerkverbindungen
sind bidirektional. Damit also eine Verbindung hergestellt werden kann, müssen die
vom Computer gesendeten Signale stark genug sein, dass sie den Drahtloszugriffs-
punkt erreichen. Viele Drahtlosnetzwerkkarten erlauben, die Sendeleistung im Eigen-
schaftendialogfeld der Drahtlosnetzwerkkarte zu konfigurieren (Abbildung 2.17).
Die konkreten Optionen unterscheiden sich von einer Drahtlosnetzwerkkarte zur
anderen. Wenn sie die Sendeleistung erhöhen, kann sich die Akkubetriebszeit ver-
ringern.
92 Kapitel 2: Netzwerk

Abbildung 2.17 Bei manchen Drahtlosnetzwerkkarten


können Sie die Sendeleistung konfigurieren

Hinweis Anzeigen der Signalstärke


Sie können sich die Signalstärke eines Drahtlosnetzwerks ansehen, indem Sie in der
Taskleiste auf das Netzwerksymbol klicken oder das Netzwerk- und Freigabecenter
öffnen.

„ Windows kann keine erneute Verbindung zu einem Drahtlosnetzwerk herstellen


Wenn Sie keine Verbindung mehr zu einem Drahtlosnetzwerk herstellen können, mit
dem Sie vorher bereits einmal verbunden waren, liegt das normalerweise daran, dass
sich die Sicherheitseinstellungen im Netzwerk geändert haben. Benutzt das Drahtlos-
netzwerk beispielsweise WEP, hat unter Umständen ein Administrator den Schlüssel
geändert. Wie Sie den Sicherheitsschlüssel ändern, ist im Abschnitt »Ändern der Kon-
figuration eines Drahtlosnetzwerks« weiter oben in dieser Lektion beschrieben. Statt-
dessen können Sie auch einfach das Drahtlosnetzwerkprofil löschen und dann die Ver-
bindung zum Netzwerk neu herstellen.
„ Schlechte Leistung Verschiedene Faktoren können schlechte Netzwerkleistung verur-
sachen:
† Ein schwaches Funksignal, wie bereits beschrieben.
† Interferenz 802.11b, 802.11g und 802.11n verwenden die Funkfrequenz 2,4 GHz,
802.11a die Frequenz 5,8 GHz. Funktelefone oder andere Funksender auf derselben
Frequenz können Leistungsprobleme verursachen.
† Überlappende Drahtloszugriffspunkte Drahtloszugriffspunkte können auf einem
von 11 Kanälen (nummeriert von 1 bis 11) senden. Wenn zwei Drahtloszugriffspunkte
auf demselben Kanal oder auf Kanälen senden, die nicht zumindest fünf Stellen aus-
Lektion 3: Problembehandlung für Drahtlosnetzwerke 93

einanderliegen, kann die Leistung bei beiden eingeschränkt sein. Sie erhalten die
besten Ergebnisse, wenn Sie für überlappende Drahtloszugriffspunkte die Kanäle 1,
6 und 11 verwenden.
† Mehrere Funkfrequenzen 802.11n und 802.11g sind abwärtskompatibel zu
802.11b. Aber wenn in 802.11n- oder 802.11g-Netzwerken 802.11b-Clients unter-
stützt werden, kann das die Leistung deutlich senken. Rüsten Sie nach Möglichkeit
alle Drahtlosclients auf den schnellsten Drahtlosnetzwerkstandard auf, den Ihre
Drahtloszugriffspunkte unterstützen. Konfigurieren Sie dann Ihre Drahtloszugriffs-
punkte so, dass sie im Modus »Nur 802.11g« oder »Nur 802.11n« laufen.
† Umfangreicher Netzwerkverkehr Alle Drahtlosclients teilen sich eine begrenzte
Bandbreite. Wenn ein Client eine große Datei herunterlädt, kann das die Leistung
aller Clients beinträchtigen.
„ Sporadische oder unerklärliche Probleme Drahtlosnetzwerkprotokolle haben sich
innerhalb kurzer Zeit stark verändert. Leider kommt es vor, dass es Schwierigkeiten gibt,
wenn Sie Drahtlosnetzwerkhardware von unterschiedlichen Herstellern kombinieren.
Zum Beispiel haben viele Hersteller Drahtloszugriffspunkte auf Basis des Standards
802.11n produziert, bevor dieser Standard überhaupt verabschiedet war. Wenn Sie eine
Drahtlosnetzwerkkarte verwenden, die 802.11n vollständig implementiert, und Sie ver-
suchen, auf einen Drahtloszugriffspunkt zuzugreifen, der auf einem Prä-802.11n-Stan-
dard basiert, können Sie unter Umständen keine Verbindung herstellen. Vielleicht treten
auch nur gelegentlich Abbrüche auf oder die Leistung ist schlecht. Sie erreichen die
besten Ergebnisse, wenn Sie bei allen Drahtloszugriffspunkten die Firmware und die
Netzwerkkartentreiber auf die neuesten Versionen aktualisieren. Setzen Sie dann die
Problembehandlung in Zusammenarbeit mit dem technischen Support des Hardware-
herstellers fort.

Weitere Informationen Problembehandlung für Drahtlosdienste


Ausführliche Informationen über Drahtlosdienste finden Sie auf der Netzwerkseite von
Microsoft TechNet unter http://technet.microsoft.com/en-us/library/dd393010.aspx. Weitere
Informationen über das Behandeln von Netzwerkproblemen enthält Anhang E.

Analysieren von Drahtlosverbindungsproblemen in der Ereignisanzeige


Wenn ein Benutzer Sie anruft und über ein Problem beim Herstellen einer Drahtlosnetz-
werkverbindung berichtet, verfügt dieser Benutzer möglicherweise nicht über alle relevanten
technischen Details, die Sie wissen müssen. Vielleicht weiß der Benutzer noch die SSID,
aber wahrscheinlich ist ihm nicht bekannt, welchen Sicherheitstyp das Netzwerk fordert
oder ob es mit 802.11b, 802.11g oder etwas anderem arbeitet. Glücklicherweise zeichnet
Windows 7 diese technischen Details jedes Mal auf, wenn ein Benutzer eine Verbindung zu
einem Netzwerk herstellt.
Gehen Sie folgendermaßen vor, um sich die Details der Drahtlosnetzwerke anzusehen, zu
denen ein Benutzer Verbindungen aufgebaut hat:
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den
Befehl Verwalten.
94 Kapitel 2: Netzwerk

2. Erweitern Sie unter Computerverwaltung die Knoten System, Ereignisanzeige, Anwen-


dungs- und Dienstprotokolle, Microsoft, Windows und WLAN-AutoConfig. Wählen Sie
dann Betriebsbereit aus.
3. Wählen Sie im mittleren Fensterabschnitt einen Ereignisprotokolleintrag aus.
Dieses Ereignisprotokoll zeigt die Details von versuchten und erfolgreichen Verbindungen
zu einem Drahtlosnetzwerk. Abbildung 2.18 zeigt ein Beispiel mit der Ereignis-ID 8001, die
Details über eine erfolgreiche Drahtlosnetzwerkverbindung liefert.

Abbildung 2.18 Windows 7 zeichnet ein Ereignis auf, wenn es


erfolgreich eine Verbindung zu einem Drahtlosnetzwerk herstellt

Abbildung 2.19 Windows 7 zeichnet detaillierte Informationen


über Drahtlosnetzwerkprobleme auf
Lektion 3: Problembehandlung für Drahtlosnetzwerke 95

Abbildung 2.19 zeigt ein Beispiel für die Ereignis-ID 11006, die anzeigt, dass die Drahtlos-
authentifizierung fehlgeschlagen ist. Wie Sie sehen, führt dieses Ereignis die SSID des
Drahtlosnetzwerks (Contoso) und den Grund für den Fehler auf (Empfang eines expliziten
Eap-Fehlers). Anhand des Zeitpunkts des Ereignisses können Sie den Authentifizierungs-
fehler einem Ereignis im RADIUS-Server oder dem Domänencontroller zuordnen. Weitere
Ereignisse, die auf einen Fehler bei der Drahtlosauthentifizierung hinweisen, haben die
Ereignis-IDs 8002 und 12013.
Windows 7 fügt für jede erfolgreiche oder fehlgeschlagene Verbindung mehrere Ereignisse
hinzu. Hat der Benutzer die Windows-Netzwerkdiagnose gestartet, finden Sie unter Um-
ständen weitere nützliche Informationen im Systemereignisprotokoll und im Ereignisproto-
koll Anwendungs- und Dienstprotokolle\Microsoft\Windows\Diagnostics-Networking\Be-
triebsbereit.

Übung Arbeiten mit Drahtlosnetzwerken


In dieser Übung konfigurieren Sie Drahtlosnetzwerke und beseitigen Probleme.

Übung 1 Konfigurieren eines WPA-PSK-verschlüsselten Drahtloszugriffspunkts


In dieser Übung stellen Sie eine Verbindung zu einem Drahtlosnetzwerk her, das mit WPA-
PSK geschützt ist. Um diese Übung durchzuarbeiten, brauchen Sie einen Drahtloszugriffs-
punkt und einen Windows 7-Computer mit Drahtlosnetzwerkadapter.
1. Öffnen Sie die Konfigurationsseite für Ihren Drahtloszugriffspunkt. Üblicherweise ver-
walten Sie einen Drahtloszugriffspunkt über einen Webbrowser. Geben Sie als SSID
Contoso ein und stellen Sie unter Sicherheit WPA2-PSK (sofern verfügbar) oder WPA-
PSK (auch als WPA-Personal bezeichnet) ein. Tippen Sie eine komplexe Passphrase mit
8 bis 63 Zeichen ein (je länger, desto sicherer) und notieren Sie sich diesen Schlüssel.
2. Klicken Sie auf Ihrem Windows 7-Computer auf das Netzwerksymbol in der Taskleiste,
dann auf das Netzwerk Contoso und schließlich auf Verbinden.
Das Dialogfeld Verbindung mit einem Netzwerk herstellen wird geöffnet.
3. Geben Sie den Sicherheitsschlüssel ein und klicken Sie auf OK.
4. Klicken Sie auf Öffentlich, falls das Dialogfeld Wählen Sie einen Ort für das Netzwerk
Contoso aus angezeigt wird.
Bei der WPA-PSK-Verschlüsselung gehen Sie genauso vor wie bei WEP. Sowohl WEP als
auch WPA-PSK verwenden statische Schlüssel, die schwierig zu verwalten sind, weil alle
Clientcomputer denselben Schlüssel haben. Sollte es jemals nötig werden, den Netzwerk-
schlüssel zu ändern, müssen Sie alle Clientcomputer umkonfigurieren.

Übung 2 Problembehandlung für ein Drahtlosnetzwerk


In dieser Übung versuchen Sie, eine Verbindung zu einem Drahtlosnetzwerk herzustellen,
das mit falschen Einstellungen konfiguriert wurde. Bevor Sie diese Übung beginnen, müssen
Sie Übung 1 in dieser Lektion abgeschlossen haben.
1. Öffnen Sie die Konfigurationsseite für Ihren Drahtloszugriffspunkt. Ändern Sie die Pass-
phrase für das Netzwerk.
96 Kapitel 2: Netzwerk

2. Auf Ihrem Windows 7-Computer zeigt nun das Netzwerksymbol an, dass der Computer
keine Verbindung mehr hat. Klicken Sie auf das Netzwerksymbol und dann auf Contoso.
Klicken Sie auf Verbinden.
Der Assistent Verbindung mit einem Netzwerk herstellen wird gestartet.
3. Das Dialogfeld Verbindung mit einem Netzwerk herstellen zeigt eine Fehlermeldung an.
Klicken Sie auf Probleme behandeln.
Die Windows-Netzwerkdiagnose versucht, das Problem zu identifizieren.
4. Folgen Sie den Anweisungen der Windows-Netzwerkdiagnose. Klicken Sie auf Ausführ-
liche Informationen anzeigen, um sich den Problembehandlungsbericht anzusehen. Lesen
Sie sich die detaillierten Informationen durch.
5. Weil die Windows-Netzwerkdiagnose nicht in der Lage war, das Problem zu beseitigen,
müssen Sie das Drahtlosprofil von Hand löschen und neu erstellen. Klicken Sie auf das
Netzwerksymbol in der Taskleiste und wählen Sie den Befehl Netzwerk- und Freigabe-
center öffnen.
6. Klicken Sie im linken Fensterabschnitt auf Drahtlosnetzwerke verwalten.
7. Klicken Sie im Fenster Drahtlosnetzwerke verwalten mit der rechten Maustaste auf
Contoso, wählen Sie den Befehl Netzwerk entfernen und klicken Sie auf Ja. Stattdessen
könnten Sie auch die Netzwerkeigenschaften bearbeiten und die Passphrase auf der
Registerkarte Sicherheit von Hand ändern.
8. Klicken Sie auf Ihrem Windows 7-Computer auf das Netzwerksymbol in der Taskleiste,
dann auf Contoso und schließlich auf Verbinden.
Das Dialogfeld Verbindung mit einem Netzwerk herstellen wird geöffnet.
9. Geben Sie den Sicherheitsschlüssel ein und klicken Sie auf OK.
Öffnen Sie nun den Internet Explorer und prüfen Sie, ob Sie über Ihre Drahtlosverbindung
auf das Internet Zugriff haben.

Zusammenfassung der Lektion


„ Bei Drahtlosnetzwerken kommunizieren Computer über Funksignale statt über ein
Ethernetkabel. Drahtlosnetzwerke sind komplexer als Kabelnetzwerke, weil es mehrere
Sicherheitsstandards gibt und die Signalstärke schwankt.
„ Windows 7 enthält eine neue Benutzeroberfläche, um die Verbindung zu Drahtlosnetz-
werken herzustellen. In Windows 7 brauchen Benutzer lediglich auf das Netzwerksym-
bol in der Taskleiste zu klicken und ein verfügbares Netzwerk auszuwählen.
„ Wenn sich Netzwerkeinstellungen ändern, können Sie das Tool Drahtlosnetzwerke ver-
walten der Systemsteuerung verwenden, um sie zu aktualisieren.
„ Mit dem Tool Drahtlosnetzwerke verwalten der Systemsteuerung können Sie auch die
Priorität von Drahtlosnetzwerken ändern. Sind mehrere Drahtlosnetzwerke verfügbar,
stellt Windows 7 eine Verbindung zu dem Netzwerk mit der höchsten Priorität her.
„ Windows 7 unterstützt mehrere Netzwerksicherheitstypen: Offen (verwendet keine
Sicherheit); WEP, WPA-PSK und WPA2-PSK (verwenden einen statischen Schlüssel für
Authentifizierung und Verschlüsselung); sowie WPA-EAP und WPA2-EAP (verwenden
einen RADIUS-Server für die Authentifizierung). Außerdem können Sie Drahtlosclients,
Lektion 3: Problembehandlung für Drahtlosnetzwerke 97

die unter Windows 7 laufen, so konfigurieren, dass sie offene Sicherheit bei 802.1X-
Netzwerkauthentifizierung verwenden.
„ Das häufigste Drahtlosnetzwerkproblem besteht darin, dass der WLAN-Sender eines
mobilen Computers ausgeschaltet wurde. Das lässt sich lösen, indem Sie den Sender
wieder einschalten. Weitere häufige Probleme sind geringe Signalstärke, schlechte Netz-
werkleistung, Inkompatibilitäten und Drahtlosnetzwerkeinstellungen, die geändert wur-
den, seit das Netzwerk erstmals konfiguriert wurde.
„ Sie können im Protokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\WLAN-
AutoConfig\Betriebsbereit feststellen, zu welchen Netzwerken ein Benutzer Verbindun-
gen hergestellt hat und welche Probleme dabei aufgetreten sind.

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 3, »Pro-
blembehandlung für Drahtlosnetzwerke«, überprüfen. Die Fragen finden Sie (in englischer
Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen
eines Übungstests beantworten.

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Ein Benutzer beschwert sich darüber, dass die Verbindung fehlgeschlagen ist, als er ver-
sucht hat, eine Verbindung zu einem Drahtlosnetzwerk herzustellen. Er hat keinerlei
Details zur Verbindung notiert. In welchem Protokoll finden Sie Details zu diesem Ver-
bindungsversuch?
A. Anwendungs- und Dienstprotokolle\Microsoft\Windows\Diagnostics-Networking\
Betriebsbereit
B. System
C. Anwendungs- und Dienstprotokolle\Microsoft\Windows\Wired-AutoConfig\
Betriebsbereit
D. Anwendungs- und Dienstprotokolle\Microsoft\Windows\WLAN-AutoConfig\
Betriebsbereit
2. Sie versuchen, eine Verbindung zu einem Drahtlosnetzwerk herzustellen, indem Sie auf
das Netzwerksymbol in der Taskleiste klicken. Aber Windows 7 erkennt überhaupt keine
Drahtlosnetzwerke in der Umgebung. Sie sehen, dass jemand neben Ihnen sitzt, der eine
Verbindung zu einem Drahtlosnetzwerk hat. Sie stellen sicher, dass der Geräte-Manager
eine Drahtlosnetzwerkkarte im Knoten Netzwerkadapter auflistet. Welche der folgenden
Ursachen könnten für das Problem verantwortlich sein? (Wählen Sie alle zutreffenden
Antworten aus.)
A. Sie haben keine Drahtlosnetzwerkkarte installiert.
B. Ihr WLAN-Sender wurde auf der Hardwareebene ausgeschaltet.
98 Kapitel 2: Netzwerk

C. Das Drahtlosnetzwerk ist so konfiguriert, dass es keine SSID (Service Set Identifier)
aussendet.
D. Das Drahtlosnetzwerk ist geschützt und Ihnen wurde kein Zugriff gewährt.
3. Welcher der folgenden Sicherheitstypen für Drahtlosnetzwerke erfordert zusätzliche
Infrastrukturserver, um die Benutzer zu authentifizieren?
A. WEP
B. WPA-PSK
C. WPA-EAP
D. WPA2-PSK

Rückblick auf dieses Kapitel


Sie können die in diesem Kapitel erworbenen Fähigkeiten folgendermaßen einüben und
vertiefen:
„ Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.
„ Lesen Sie die Liste der Schlüsselbegriffe durch, die in diesem Kapitel eingeführt wurden.
„ Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle
aus der Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie wer-
den aufgefordert, eine Lösung zu entwickeln.
„ Führen Sie die vorgeschlagenen Übungen durch.
„ Machen Sie einen Übungstest.

Zusammenfassung des Kapitels


„ Windows 7 stellt die Windows-Netzwerkdiagnose zur Verfügung, ein Tool, das häufig
vorkommende Netzwerkprobleme automatisch diagnostizieren kann. Die Windows-
Netzwerkdiagnose sollte immer Ihre erste Anlaufstelle bei einer Problembehandlung
sein. Wenn Sie das Problem auf diese Weise nicht identifizieren konnten, können Sie
Ping, PathPing, PortQry und Nslookup verwenden, um festzustellen, ob es sich um ein
Netzwerkverbindungsproblem, ein Anwendungsverbindungsproblem oder ein Namens-
auflösungsproblem handelt.
„ Namensauflösungsprobleme untersuchen Sie, indem Sie sich mit Ipconfig die aktuelle
Konfiguration ansehen und mit Nslookup von Hand DNS-Abfragen an den DNS-Server
senden. Hat ein Administrator einen DNS-Eintrag verändert, den Sie vor Kurzem abge-
fragt haben, können Sie den Befehl ipconfig /flushdns ausführen, um den DNS-Cache
zu löschen.
„ Probleme bei Drahtlosnetzwerken haben oft mit der Signalstärke, Sicherheitsschlüsseln
und Adaptereinstellungen zu tun. Windows 7 stellt eine bequeme Benutzeroberfläche
bereit, um Verbindungen zu Drahtlosnetzwerken herzustellen. Tauchen bei einem Benut-
zer Probleme auf, kann die Windows-Netzwerkdiagnose sie oft diagnostizieren oder
beseitigen. In anderen Fällen müssen Sie unter Umständen das Drahtlosnetzwerkprofil
löschen, damit Windows es automatisch neu anlegt, sobald Sie das nächste Mal eine
Verbindung zum Drahtlosnetzwerk aufbauen.
Schlüsselbegriffe 99

Schlüsselbegriffe
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten über-
prüfen, indem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.
„ APIPA (Automatic Private IP Address)
„ Hotspot
„ Latenz
„ Namensauflösung
„ SSID (Service Set Identifier)
„ WEP (Wired Equivalent Protection)
„ WPA (Wi-Fi Protected Access)

Übungen mit Fallbeispiel


In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über das Behandeln von
Netzwerkproblemen gelernt haben. Die Lösungen zu den Fragen finden Sie im Abschnitt
»Antworten« hinten in diesem Buch.

Übung mit Fallbeispiel 1: Behandeln eines Netzwerkproblems


Sie arbeiten als Desktopsupporttechniker für Contoso Pharmaceuticals. Vor Kurzem haben
Sie geholfen, 20 Windows 7-Computer in einer neuen Niederlassung in Tulsa, Oklahoma,
bereitzustellen. Einer der Benutzer, Gordon L. Hee, ruft Sie wegen eines besonders subtilen
Netzwerkproblems an: »Mein Netzwerk geht nicht.«

Fragen
1. Welchen Schritt sollte Gordon als Erstes unternehmen?
2. Wie können Sie feststellen, ob das Problem beim lokalen Netzwerk oder dem WAN
(Wide Area Network) liegt?
3. Wie können Sie feststellen, ob es sich um ein Namensauflösungsproblem handelt?

Übung mit Fallbeispiel 2: Problembehandlung beim Verbindungsaufbau zu


einem Drahtlosnetzwerk
Sie sind Desktopsupporttechniker bei City Power & Light. Sie bekommen einen Anruf von
Parry Bedi, die versucht, eine Verbindung zum Drahtlosnetzwerk am Flughafen herzustellen,
aber Probleme hat. Parry kann die Verbindung zum Netzwerk aufbauen, aber die Verbindung
scheint nicht stabil zu sein. Der Download der E-Mails ist sehr langsam und gelegentlich
bricht die Verbindung völlig zusammen.

Fragen
1. Was ist wahrscheinlich die Ursache für Parrys Problem und wie kann Parry sie beseiti-
gen?
2. Welche anderen Ursachen kann Parrys Problem haben?
100 Kapitel 2: Netzwerk

Vorgeschlagene Übungen
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die in diesem Kapitel behan-
delten Prüfungsziele meistern wollen.

Untersuchen und Beseitigen von Problemen mit der Netzwerkkonnektivität


Die Problembehandlung erfordert eine Menge praktische Erfahrung. Dieses Kapitel stellt
zwar Konzepte und Tools vor, aber letztlich erwerben Sie nur durch Übung die Fähigkeiten,
die Sie brauchen, um Netzwerkverbindungsprobleme zu beseitigen und die Prüfung zu be-
stehen. Arbeiten Sie so viele dieser Übungen durch wie möglich, um Ihre Problembehand-
lungsfähigkeiten zu erweitern.
„ Übung 1 Besuchen Sie http://social.answers.microsoft.com/Forums/de-DE/category/
windows7 und suchen Sie die Newsgroup »Netzwerke, E-Mail und Onlineverbindun-
gen«. Lesen Sie die Nachrichten durch, um festzustellen, wie die Teilnehmer ihre unter-
schiedlichen Netzwerkprobleme gelöst haben.
„ Übung 2 Stellen Sie getrennte Verbindungen zu Ihren Heim- und Unternehmensnetz-
werken her. Sehen Sie sich jeweils die Netzwerkkonfiguration an. Wird DHCP oder eine
manuelle IP-Adressierung verwendet? Steht mehr als ein DNS-Server zur Verfügung?
Wie lautet die IP-Adresse Ihres Standardgateways?
„ Übung 3 Versuchen Sie, Ihr Standardgateway, Ihren DNS-Server und diverse Com-
puter in Ihrem lokalen Netzwerk sowie Webserver im Internet mit Ping zu erreichen.
Welche davon antworten auf Ping-Anforderungen, welche ignorieren sie?
„ Übung 4 Verwenden Sie statt PathPing das Tool Tracert für Ihre Problembehandlung.
PathPing ist zwar leistungsfähiger, aber für die Prüfung müssen Sie auch Tracert kennen.
„ Übung 5 Stellen Sie mit Ipconfig fest, welche IP-Adresse Ihr DHCP-Server hat, und
notieren Sie sich, seit wann Sie Ihre IP-Adresse haben. Testen Sie den DHCP-Server mit
Ping.
„ Übung 6 Sehen Sie sich mit Ipconfig Ihre aktuelle IP-Adresse an. Rufen Sie dann
Ipconfig auf, um Ihre IP-Adresse freizugeben und eine neue anzufordern. Haben Sie
dieselbe IP-Adresse erhalten oder eine andere?
„ Übung 7 Lassen Sie von einem Kollegen eines der folgenden Netzwerkprobleme aus-
lösen. Verwenden Sie dann die in Windows 7 eingebauten Tools, um das Problem zu
diagnostizieren und zu reparieren:
† Das LAN-Kabel des Computers ist abgezogen.
† Die Drahtlosnetzwerkkarte ist ausgeschaltet (über den Hardwareschalter des Note-
books).
† Die Netzwerkkarte ist deaktiviert.
† Der Router hat keine Verbindung mit dem Internet.
† Der DNS-Server ist nicht verfügbar oder falsch konfiguriert.
† Das Standardgateway ist offline.
Vorgeschlagene Übungen 101

Untersuchen und Beseitigen von Namensauflösungsproblemen


Die Namensauflösung ist ein umfangreiches Thema. Dieses Kapitel hat sich auf Probleme
mit der DNS-Namensauflösung konzentriert, die in der Prüfung 70-685 am wahrscheinlichs-
ten behandelt werden. Wenn Sie sich tiefer in die Namensauflösung einarbeiten, hilft Ihnen
das sowohl bei der Prüfung als auch bei der Problembehandlung an Ihrem Arbeitsplatz.
Arbeiten Sie so viele dieser Übungen durch, wie Sie schaffen.
„ Übung 1 Fragen Sie mit Nslookup mehrere Hostnamen ab: www.microsoft.com, www.
conotoso.com und not-valid.contoso.com.
„ Übung 2 Suchen Sie mit Nslookup nach dem Mailserver einer Domäne. Führen Sie
den Befehl nslookup -type=mx microsoft.com aus, um den Standardmailserver von
Microsoft abzufragen. Recherchieren Sie im Internet die Bedeutung von MX-Einträgen
und anderen Arten von DNS-Einträgen.
„ Übung 3 Machen Sie sich mit der Bedienung von Nslookup im interaktiven Modus
vertraut, indem Sie Nslookup in einer Eingabeaufforderung ohne jegliche Argumente
aufrufen. Geben Sie dann den Befehl help ein.
„ Übung 4 Suchen Sie im Internet, insbesondere auf http://technet.microsoft.com, nach
Informationen über die NetBIOS-Namensauflösung und WINS-Server. Üben Sie, wie
Sie mit Nbtstat den lokalen Cache für NetBIOS-Namen anzeigen.

Untersuchen und Beseitigen von Problemen mit Drahtlosverbindungen


Arbeiten Sie mindestens die ersten beiden Übungen durch, um mehr Erfahrung bei der Pro-
blembehandlung für Drahtlosverbindungen zu sammeln. Sofern Sie genug Zeit haben und
mehr über den Einsatz von Drahtlosnetzwerken in der Praxis erfahren wollen, können Sie
auch die Übungen 3 und 4 durcharbeiten.
„ Übung 1 Stellen Sie auf einem mobilen Computer eine Verbindung zu einem Drahtlos-
netzwerk her. Öffnen Sie eine Eingabeaufforderung und führen Sie den Befehl ping -t
gateway aus, um unbegrenzt Ping-Anforderungen an Ihr Standardgateway zu schicken.
Die Ping-Schleife ermöglicht Ihnen zu beobachten, ob Sie mit dem LAN verbunden
sind. Bewegen Sie sich jetzt vom Drahtloszugriffspunkt weg. Wie weit kommen Sie,
bevor Sie die Verbindung verlieren? Wie verhält sich Windows 7 dabei?
„ Übung 2 Besuchen Sie http://social.answers.microsoft.com/Forums/de-DE/category/
windows7 und suchen Sie die Newsgroup »Netzwerke, E-Mail und Onlineverbindun-
gen«. Lesen Sie die Nachrichten durch, um festzustellen, wie die Teilnehmer ihre unter-
schiedlichen Probleme mit Drahtlosnetzwerken gelöst haben.
„ Übung 3 Besuchen Sie ein Internetcafé, einen Flughafen oder ein Hotel mit einem
öffentlichen WLAN-Hotspot. Versuchen Sie, eine Verbindung ins Internet herzustellen.
Müssen Sie sich authentifizieren oder eine Nutzungsvereinbarung akzeptieren?
„ Übung 4 Suchen Sie im Internet nach Tools, die dazu dienen, WEP oder WPA-PSK zu
knacken. Wie einfach sind sie zu benutzen? Sofern Sie kompatible Hardware haben (die
meisten Geräte unterstützen keine Crackversuche), können Sie versuchen, Ihr privates
Drahtlosnetzwerk zu knacken. Wie lange brauchen Sie dazu?
102 Kapitel 2: Netzwerk

Machen Sie einen Übungstest


Die Übungstests (in englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahl-
reiche Möglichkeiten. Zum Beispiel können Sie einen Test machen, der ausschließlich die
Themen aus einem Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesam-
ten Inhalt der Prüfung 70-685 testen. Sie können den Test so konfigurieren, dass er dem
Ablauf einer echten Prüfung entspricht, oder Sie können einen Lernmodus verwenden, in
dem Sie sich nach dem Beantworten einer Frage jeweils sofort die richtige Antwort und
Erklärungen ansehen können.

Weitere Informationen Übungstests


Einzelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, finden Sie im
Abschnitt »So benutzen Sie die Übungstests« in der Einführung am Anfang dieses Buchs.
103

K A P I T E L 3

Drucker

Drucker schlagen die Brücke zwischen der virtuellen und der physischen Welt. Sie ermög-
lichen es den Benutzern anzufassen, was sie auf ihren Computern erstellt haben. Die meisten
Benutzer drucken nur die wichtigsten Dokumente aus, daher muss sichergestellt sein, dass
die Drucker funktionieren, wenn sie gebraucht werden. Muss ein Benutzer 20 Minuten vor
einem wichtigen Meeting unbedingt seine Präsentation ausdrucken, wird aber durch einen
Fehler aufgehalten, müssen Sie in der Lage sein, das Problem schnell zu finden und zu be-
seitigen.
Damit die Benutzer produktiv arbeiten können, müssen Sie wissen, wie Sie freigegebene
Drucker konfigurieren und Probleme damit beseitigen. Dieses Kapitel zeigt, wie Sie häufige
Probleme mit Druckertreibern, -freigaben und -hardware behandeln.

Prüfungslernziele in diesem Kapitel:


„ Untersuchen und Beseitigen von Netzwerkdruckerproblemen

Lektion in diesem Kapitel:


„ Lektion 1: Problembehandlung für Netzwerkdrucker . . . . . . . . . . . . . . . . . . . . . . . 105

Bevor Sie beginnen


Um die Übungen in diesem Kapitel durcharbeiten zu können, sollten Sie mit Windows 7
vertraut sein und folgende Aufgaben beherrschen:
„ Installieren von Windows 7
„ Einen Computer hardwaremäßig an das Netzwerk anschließen
„ Konfigurieren und Verwalten von Druckern
„ Durchführen einfacher Verwaltungsaufgaben auf einem Windows Server 2008 R2-
Domänencontroller
104 Kapitel 3: Drucker

Praxistipp
Tony Northrup
Ganze Kapitel in diesem Buch beschäftigen sich ausschließlich mit der Behandlung von
Hardware- und Netzwerkproblemen. Warum bekommen Netzwerkdrucker also ein eige-
nes Kapitel? Schließlich müsste die Problembehandlung für Netzwerkdrucker doch eine
Kombination aus Problembehandlung für Netzwerk und Hardware sein.
Auch wenn es nicht immer ganz logisch ist, behandelt Windows 7 Drucker ganz anders
als die sonstigen Hardwarekomponenten. Erstens finden Sie keinen Knoten für Drucker
im Geräte-Manager. Stattdessen müssen Sie das Eigenschaftendialogfeld eines Druckers
öffnen, um seine Treiber zu ändern. Zweitens können Standardbenutzer die meisten Trei-
bertypen nicht installieren, aber es ist ihnen erlaubt, Druckertreiber zu installieren (sofern
der Administrator es nicht verhindert). Drucker sind auch die einzigen Hardwarekompo-
nenten, die üblicherweise im gesamten Netzwerk freigegeben sind.
Abgesehen davon, dass Windows 7 Druckern einen Sonderstatus einräumt, verdienen sie
auch deshalb ein eigenes Kapitel, weil sie viel mehr Supportanfragen verursachen als
andere Hardwaretypen. Viele mobile Benutzer greifen regelmäßig auf unterschiedliche
Drucker zu, je nachdem, ob sie gerade zuhause, im Büro oder in einem Hotel sind. Jeder
Drucker benötigt eine neue Verbindung und eigene Treiber. Drucker erfordern auch eine
wesentlich aufwendigere Wartung als andere Hardwarekomponenten, weil ihnen regel-
mäßig Papier oder Tinte ausgehen und die komplexen beweglichen Teile häufiger Defekte
verursachen als bei anderen Hardwarekomponenten.
Lektion 1: Problembehandlung für Netzwerkdrucker 105

Lektion 1: Problembehandlung für Netzwerkdrucker


Diese Lektion beschreibt, welche Abläufe und Tools Sie einsetzen, um komplexe Probleme
mit freigegebenen Druckern zu behandeln. Dazu zählen beispielsweise ausgefallene Dienste,
ungültige Treiber, Probleme mit der Firewallkonfiguration und Netzwerkausfälle. Bei ein-
facheren Problemen macht Windows 7 die Problembehandlung so simpel, dass keine Anlei-
tung erforderlich ist. Geht einem Drucker etwa das Papier aus, informiert Windows 7 ein-
fach den Benutzer. Und wenn einem Benutzer die Privilegien zum Drucken fehlen, zeigt
Windows 7 eine Fehlermeldung an, die das Problem beschreibt.
In dieser Lektion wird vorausgesetzt, dass Sie bereits wissen, wie Sie Drucker in Windows 7
und Windows Server 2008 R2 konfigurieren und verwalten.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Verwenden des Problembehandlungsmoduls für Drucker, das in Windows 7 eingebaut ist
„ Untersuchen von Druckerereignissen im Ereignisprotokoll
„ Konfigurieren von Gruppenrichtlinieneinstellungen, um die Problembehandlung für
Drucker zu unterstützen
„ Behandeln von Problemen mit einem Druckserver
„ Behandeln von Problemen mit Druckertreibern
„ Behandeln von Problemen beim Herstellen einer Verbindung zu Druckern im Netzwerk
Veranschlagte Zeit für diese Lektion: 25 Minuten

Verwenden des Problembehandlungsmoduls Drucker


Windows stellt ein integriertes Problembehandlungsfeature für die Diagnose von Problemen
im Zusammenhang mit Druckern bereit. Das Problembehandlungsmodul ist so entworfen,
dass es von normalen Benutzern bedient werden kann, aber es ist auch für Systemadminis-
tratoren der beste Ausgangspunkt, um ein Druckerproblem zu untersuchen.
Wenn Sie Schwierigkeiten haben, eine Verbindung zu einem freigegebenen Drucker herzu-
stellen, sollten Sie folgendermaßen vorgehen, um das Problembehandlungsmodul Drucker zu
öffnen:
1. Klicken Sie im Startmenü auf Systemsteuerung.
2. Klicken Sie auf System und Sicherheit.
3. Klicken Sie unter Wartungscenter auf Problembehandlung für allgemeine Computer-
probleme.
4. Klicken Sie unter Hardware und Sound auf Drucker verwenden.
5. Das Problembehandlungsmodul Drucker öffnet sich und versucht, das Problem zu diag-
nostizieren. Folgen Sie den angezeigten Anweisungen.
6. Klicken Sie auf der Seite Computerprobleme behandeln und Computerproblemen vor-
beugen auf Weiter.
7. Klicken Sie auf der Seite Für welchen Drucker möchten Sie eine Problembehandlung
durchführen? auf Mein Drucker ist nicht aufgeführt. Klicken Sie auf Weiter.
106 Kapitel 3: Drucker

8. Wählen Sie die Optionen aus, die vermutlich Ihr Problem betreffen.
Haben Sie Schwierigkeiten beim Ausdrucken auf einem vorhandenen Drucker, sollten Sie
das Problembehandlungsmodul Drucker folgendermaßen ausführen:
1. Klicken Sie im Startmenü auf Geräte und Drucker.
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl Pro-
blembehandlung.
Das Problembehandlungsmodul Drucker öffnet sich und versucht, das Problem zu diag-
nostizieren.
3. Folgen Sie den angezeigten Anweisungen.
Das Problembehandlungsmodul Drucker ist in der Lage, folgende Probleme zu erkennen:
„ Es ist kein physischer Drucker installiert.
„ Ein neuer Drucker wurde noch nicht erkannt.
„ Der Drucker ist nicht der Standarddrucker.
„ Der Drucker ist nicht freigegeben.
„ Der Drucker hat kein Papier mehr.
„ Beim Drucker ist der Toner aus.
„ Beim Drucker ist ein Papierstau aufgetreten.
„ Der Druckertreiber muss aktualisiert werden.
„ Der Drucker ist ausgeschaltet.
„ Ein Druckauftrag verhindert, dass andere Druckaufträge abgearbeitet werden.
„ Der Dienst Druckwarteschlange läuft nicht oder verursacht einen Fehler.
Wie in Abbildung 3.1 zu sehen, kann das Problembehandlungsmodul Drucker einige Kon-
figurationsprobleme automatisch reparieren (dazu sind allerdings oft Administratorprivile-
gien nötig).

Abbildung 3.1 Das Problembehandlungsmodul Drucker


kann einige Probleme automatisch beseitigen
Lektion 1: Problembehandlung für Netzwerkdrucker 107

Überwachen von Druckerereignissen


Windows 7 zeichnet Druckerereignisse im Ereignisprotokoll Anwendungs- und Dienstproto-
kolle\Microsoft\Windows\PrintService\Administrator auf. Häufige Ereignisse sind:
„ Ändern des Standarddruckers
„ Fehler beim Initialisieren eines neuen Druckers oder Treibers
„ Fehler beim Versuch, eine Verbindung zu einem Netzwerkdrucker herzustellen
„ Fehler beim Versuch, einen Drucker freizugeben
Windows 7 kann Ereignisse in das Sicherheitsereignisprotokoll schreiben, wenn Benutzer
zum ersten Mal eine Verbindung zu einem Drucker herstellen. Damit in diesen Fällen ein
Ereignis aufgezeichnet wird, müssen Sie mithilfe von Gruppenrichtlinien die Erfolgs- oder
Fehlerüberwachung für die Richtlinie Anmeldeereignisse überwachen im Knoten Computer-
konfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Über-
wachungsrichtlinie aktivieren.
Windows 7 bietet keine Unterstützung zum Überwachen, wann Benutzer Dokumente aus-
drucken oder Drucker verwalten. Windows Server 2008 R2 unterstützt allerdings die Objekt-
überwachung für Drucker. Aktivieren Sie dazu erst die Erfolgs- oder Fehlerüberwachung für
die Richtlinie Objektzugriffsversuche überwachen im Knoten Computerkonfiguration\Win-
dows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie.
Gehen Sie folgendermaßen vor, um die Überwachung des Druckers zu aktivieren:
1. Klicken Sie im Startmenü auf Geräte und Drucker.
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl
Druckereigenschaften.
Das Dialogfeld Druckereigenschaften erscheint.
3. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert.
Das Dialogfeld Erweiterte Sicherheitseinstellungen wird geöffnet.
4. Klicken Sie auf der Registerkarte Überwachung auf Hinzufügen.
Das Dialogfeld Benutzer, Computer, Dienstkonto oder Gruppe auswählen wird geöffnet.
5. Geben Sie den Namen des Benutzers oder der Gruppe ein, die Sie überwachen wollen,
und klicken Sie auf OK.
Das Dialogfeld Überwachungseintrag wird geöffnet.
6. Wählen Sie die Erfolgs- oder Fehlerüberwachung für die unterschiedlichen Zugriffs-
typen aus (Abbildung 3.2). Klicken Sie dreimal auf OK.
Ab jetzt zeichnet Windows Server 2008 R2 Ereignisse im Sicherheitsereignisprotokoll auf,
wenn Benutzer der angegebenen Gruppe die ausgewählten Zugriffsarten ausführen.
108 Kapitel 3: Drucker

Abbildung 3.2 Windows 7 unterstützt keine Druckerüberwachung,


Windows Server 2008 R2 bietet aber diese Möglichkeit

Gruppenrichtlinieneinstellungen für die Problembehandlung


Windows 7 stellt im Knoten Computerkonfiguration\Administrative Vorlagen\Drucker viele
Gruppenrichtlinieneinstellungen zur Verfügung, die Ihnen helfen, das Verhalten von Dru-
ckern und Druckertreibern zu konfigurieren. Außerdem können Sie Clientcomputer so kon-
figurieren, dass sie automatisch eine Verbindung zu einem freigegebenen Drucker herstellen,
indem Sie den Drucker zu den Knoten Computerkonfiguration\Windows-Einstellungen\
Bereitgestellte Drucker oder Benutzerkonfiguration\Windows-Einstellungen\Bereitgestellte
Drucker hinzufügen.
Weil sich die Prüfung 70-685 auf die Problembehandlung konzentriert, beschreibt dieses
Buch keine Gruppenrichtlinieneinstellungen, mit denen Drucker bereitgestellt oder verwal-
tet werden. Die folgenden Gruppenrichtlinieneinstellungen sind aber oft für die Problem-
behandlung von Druckern auf Windows 7-Computern nützlich:
„ Druckertreiber in isolierten Prozessen ausführen In der Standardeinstellung hält die
Druckwarteschlange alle Druckertreiber in einem eigenen Prozess. So funktioniert die
Druckwarteschlange auch dann, wenn ein Druckertreiber abstürzt. Die Standardeinstel-
lung eignet sich für die Problembehandlung am besten, aber wenn Sie feststellen, dass
die Druckwarteschlange abstürzt, sollten Sie sicherstellen, dass diese Einstellung nicht
deaktiviert wurde.
„ Vom Druckertreiber gemeldete Kompatibilitätseinstellung zur Ausführung des
Druckertreibers außer Kraft setzen Druckertreiber enthalten ein Kompatibilitätsflag
für die Treiberisolation, das festlegt, ob der Druckertreiber in einem anderen Prozess als
die Druckwarteschlange laufen soll. Wenn Sie diese Einstellung aktivieren (in der Stan-
dardeinstellung ist sie deaktiviert), führt die Druckwarteschlange alle Druckertreiber in
einem separaten Prozess aus, unabhängig davon, welchen Wert ihr Kompatibilitätsflag
für die Treiberisolation hat. Wenn Sie feststellen, dass die Druckwarteschlange abstürzt,
sollten Sie diese Einstellung aktivieren.
Lektion 1: Problembehandlung für Netzwerkdrucker 109

„ Annahme von Clientverbindungen zum Druckspooler erlauben Diese Einstellung


verhindert, dass ein Computer als Druckserver agiert. Wenn Probleme beim Freigeben
eines Druckers auftauchen, sollten Sie sicherstellen, dass diese Einstellung aktiviert ist
(das ist der Standardwert).

Behandeln von Serverproblemen


In privaten Umgebungen schließen die Benutzer ihre Drucker normalerweise über ein USB-
Kabel (Universal Serial Bus) an den Computer an. In Unternehmensumgebungen werden
Drucker oft von vielen Benutzern gemeinsam verwendet. Um viele unterschiedliche Benut-
zer mit einem Drucker verbinden zu können, müssen die Drucker im Netzwerk zur Verfü-
gung stehen. Es gibt zwei verbreitete Methoden, einen Drucker im Netzwerk freizugeben:
„ Den Drucker direkt an das Netzwerk anschließen Drucker müssen dazu netzwerk-
fähig sein, also einen Ethernetanschluss oder einen Drahtlosadapter haben.
„ Anschließen des Druckers an einen Computer und Freigeben im Netzwerk In die-
sem Fall wird der Computer, an den der Drucker direkt angeschlossen ist, zum Druck-
server. Alle neueren Client- und Serverversionen von Microsoft Windows sind in der
Lage, als Druckserver zu agieren.

Entscheiden, ob ein Druckserver verwendet wird


Wenn Sie einen Drucker direkt an das Netzwerk anschließen, kann das die Anschaffungs-
kosten senken, weil Sie keinen Server kaufen oder konfigurieren müssen. Außerdem fällt ein
Drucker, der direkt ans Netzwerk angeschlossen ist, nicht aus, wenn ein Server offline geht.
Abhängig von den Verwaltungsfunktionen des vernetzten Druckers ist ein direkter Anschluss
an das Netzwerk unter Umständen die beste Wahl für Ihre Umgebung. Es hat aber auch
mehrere Vorteile, wenn Sie einen Computer als Druckserver konfigurieren:
„ Integration in die Windows-Sicherheit Wenn Sie einen Drucker in Windows frei-
geben, können Sie konfigurieren, welche AD DS-Konten (Active Directory Domain
Services) Zugriff auf den Drucker haben oder unterschiedliche Verwaltungsfunktionen
ausführen dürfen.
„ Integration in die AD DS-Suche Sie können Drucker in Ihrem AD DS veröffent-
lichen, sodass die Benutzer nach dem Drucker suchen können, der ihrem Standort am
nächsten ist.
„ Automatische Installation von Druckertreibern Windows-Druckserver können
Druckertreiber für Clientcomputer zur Verfügung stellen, sobald sie das erste Mal eine
Verbindung herstellen. Das vereinfacht die Verwaltung.
„ Integration in Unternehmensverwaltungstools Probleme beim Drucken generieren
Ereignisse im Ereignisprotokoll, die Sie mithilfe verbreiteter Unternehmensverwaltungs-
tools wie Microsoft Systems Center Operations Manager verwalten können.

Anforderungen an einen Druckserver


Damit ein Computer Drucker freigeben kann, muss er zwei Dienste ausführen:
„ Server Dieser Dienst wird gebraucht, um Dateien oder Drucker über das Netzwerk
freizugeben.
„ Druckwarteschlange Dieser Dienst ist für das Drucken erforderlich.
110 Kapitel 3: Drucker

Clientcomputer, die eine Verbindung zum freigegebenen Drucker herstellen wollen, müssen
den Arbeitsstationsdienst und den Druckwarteschlangendienst ausführen. Startet ein erfor-
derlicher Dienst nicht, sollten Sie überprüfen, ob alle anderen Dienste laufen, von denen
dieser Dienst abhängig ist. Sehen Sie sich dann die Ereignisse im Systemereignisprotokoll
und im Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\Print-
Service\Administrator an.

Freigeben eines Druckers


In Windows Server 2008 R2 oder Windows 7 gehen Sie folgendermaßen vor, um einen frei-
gegebenen Drucker zu verwalten:
1. Klicken Sie im Startmenü auf Geräte und Drucker.
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl Dru-
ckereigenschaften. Wählen Sie nicht Eigenschaften, der Befehl Druckereigenschaften
befindet sich in der Mitte des Kontextmenüs.
3. Aktivieren Sie auf der Registerkarte Freigabe das Kontrollkästchen Drucker freigeben.
Sie haben nun drei weitere Möglichkeiten zur Auswahl:
„ Aktivieren Sie das Kontrollkästchen Druckauftragsaufbereitung auf Clientcomputern
durchführen, um den Prozessor des Servers zu entlasten. Dadurch zwingen Sie den
Client, einen größeren Teil der Druckaufbereitung selbst zu erledigen. Sofern Ihr
Druckserver mehr Rechenleistung besitzt als die Clientcomputer und die Druckleis-
tung nicht leidet, können Sie dieses Kontrollkästchen deaktivieren.
„ Wenn Sie in einer AD DS-Umgebung arbeiten, können Sie das Kontrollkästchen In
Verzeichnis auflisten aktivieren. Daraufhin wird der Drucker in AD DS veröffentlicht,
sodass Benutzer nach einem Drucker suchen können, der sich nahe an ihrem Stand-
ort befindet.
„ Klicken Sie auf Zusätzliche Treiber, um andere Prozessortypen auszuwählen, für die
Treiber gespeichert werden sollen. Clients können einen Treiber automatisch vom
Server herunterladen, sofern der passende Treibertyp verfügbar ist. Wenn Sie auf OK
klicken, werden Sie unter Umständen aufgefordert, den Pfad zum Speicherort des
Treibers anzugeben. Klicken Sie auf OK.

Verwalten von Druckaufträgen für einen Drucker


Gehen Sie in Windows Server 2008 R2 oder Windows 7 folgendermaßen vor, um einen frei-
gegebenen Drucker zu verwalten:
1. Klicken Sie im Startmenü auf Geräte und Drucker.
2. Klicken Sie doppelt auf den Drucker, den Sie verwalten wollen.
3. Klicken Sie auf Druckaufträge anzeigen.
4. Windows zeigt die Druckerwarteschlange an, eine Sammlung der Dokumente, die auf
den Ausdruck warten. Sie können mit der rechten Maustaste auf ein beliebiges Doku-
ment klicken und die Befehle Anhalten, Neu starten oder Abbrechen wählen.
Lektion 1: Problembehandlung für Netzwerkdrucker 111

Problembehandlung für die Druckerwarteschlange


Wenn Sie ein Dokument haben, das hartnäckig in der Druckerwarteschlange verbleibt, kön-
nen Sie es löschen, indem Sie den Dienst Druckwarteschlange neu starten. Dafür können Sie
den Knoten Dienste im Fenster Computerverwaltung verwenden oder in einer administrati-
ven Eingabeaufforderung die Befehle net stop spooler und net start spooler ausführen. Wol-
len Sie den Dienst Druckwarteschlange in einem einzigen Befehl neu starten, können Sie
net stop spooler && net start spooler eingeben.
Lassen sich unerwünschte Dokumente nicht aus der Druckerwarteschlange entfernen, ob-
wohl Sie die Druckwarteschlange neu starten, können Sie solche Dokumente folgender-
maßen von Hand löschen:
1. Beenden Sie erst den Dienst Druckwarteschlange, wie weiter oben in diesem Abschnitt
beschrieben.
2. Löschen Sie im Windows-Explorer alle Dateien im Ordner %WinDir%\System32\Spool\
Printers. Dieser Ordner enthält zwei Dateien für jedes Dokument, das in der Drucker-
warteschlange steht: eine .shd- und eine .spl-Datei.
3. Starten Sie den Dienst Druckwarteschlange wieder.

Prüfungstipp
Für die Prüfung müssen Sie die Bedeutung des Dienstes Druckwarteschlange kennen. Der
Dienst muss sowohl auf dem Client als auch dem Server laufen, damit die Benutzer Doku-
mente ausdrucken oder Drucker verwalten können. Wenn Sie den Dienst Druckwarteschlange
neu starten, wird die Druckerwarteschlange gelöscht; das beseitigt oft Probleme mit einem
Dokument, das nicht ausgedruckt wird, und verhindert, dass andere Dokumente gedruckt
werden.

Behandeln von Treiberproblemen


Treiber wickeln die Kommunikation zwischen Windows und Hardwarekomponenten ab.
Beispielsweise hat Windows neben den Druckertreibern auch Treiber für Grafikkarten,
Tastaturen, Mäuse und Monitore. Bei den meisten Hardwarekomponenten verwenden Sie
den Geräte-Manager, um die zugehörigen Treiber zu verwalten. Bei Druckern müssen Sie
dafür das Dialogfeld Druckereigenschaften verwenden.

Aktualisieren eines Treibers für den Druckserver


Wenn Sie eine Verbindung zu einem neuen Drucker herstellen, erkennt Windows 7 die neue
Hardware und versucht, automatisch einen Treiber zu installieren. Verursacht dieser Stan-
dardtreiber Probleme, sollten Sie folgendermaßen einen anderen Treiber installieren:
1. Klicken Sie im Startmenü auf Geräte und Drucker.
2. Klicken Sie mit der rechten Maustaste auf den Drucker, den Sie verwalten wollen, und
wählen Sie den Befehl Druckereigenschaften.
3. Klicken Sie auf der Registerkarte Erweitert auf Neuer Treiber, um einen Treiber hinzu-
zufügen.
4. Der Assistent für die Druckertreiberinstallation leitet Sie durch den Vorgang. Sie haben
die Wahl, ob Sie einen in Windows eingebauten Treiber verwenden, einen Treiber von
112 Kapitel 3: Drucker

Windows Update herunterladen oder einen Treiber auswählen, den Sie auf der Festplatte
gespeichert haben.
Gelegentlich schlägt eine Treiberinstallation fehl, sodass der Drucker nicht mehr funktioniert.
Am schnellsten können Sie den Treiber neu installieren, indem Sie folgendermaßen den
ganzen Drucker neu installieren:
1. Löschen Sie alle Dokumente aus der Druckerwarteschlange, wie im Abschnitt »Problem-
behandlung für die Druckerwarteschlange« weiter oben in dieser Lektion beschrieben.
2. Löschen Sie den Drucker, indem Sie ihn mit der rechten Maustaste anklicken und den
Befehl Gerät entfernen wählen.
3. Öffnen Sie das Systemsteuerungselement Programm deinstallieren, um jegliche Soft-
ware zu entfernen, die für den Drucker installiert wurde.
4. Installieren Sie den Drucker neu, wobei Sie die neueste Treiberversion verwenden.
Klicken Sie dazu im Fenster Geräte und Drucker auf Drucker hinzufügen und folgen Sie
den angezeigten Anweisungen.
Besteht das Problem weiterhin, obwohl Sie den Drucker neu installiert haben, müssen Sie
unter Umständen von Hand Dateien löschen, die mit der Treiberinstallation zu tun haben.
Gehen Sie dazu folgendermaßen vor:
1. Beenden Sie erst den Dienst Druckwarteschlange.
2. Wechseln Sie im Windows-Explorer in den Ordner %WinDir%\System32\Spool\Drivers\
W32x86\3\ (bei 32-Bit-Versionen von Windows) beziehungsweise %WinDir%\System32\
Spool\Drivers\x64\3\ (bei 64-Bit-Versionen).
3. Löschen Sie in diesem Ordner alle Unterordner, deren Name eine Zahl ist.
4. Starten Sie den Dienst Druckwarteschlange neu.
Informationen über die Problembehandlung von Hardwarefehlern, die nicht durch Treiber
verursacht werden, finden Sie in Kapitel 1, »Beseitigen von Hardwarefehlern«.

Hinzufügen von Treibern für Clients, die auf freigegebene Drucker zugreifen
Wenn Windows-Clients eine Verbindung zu einem neuen Drucker herstellen, können sie
automatisch Treiber installieren, die auf dem Druckserver gespeichert sind. In der Standard-
einstellung enthält der Druckserver nur die Treiber, die er selbst für das Drucken braucht.
Ein 64-Bit-Druckserver, der unter Windows 7 läuft, hat also 64-Bit-Druckertreiber, aber
keine 32-Bit-Treiber. Somit können 64-Bit-Clients, die unter Windows 7 laufen, die Treiber
automatisch vom Druckserver installieren, aber 32-Bit-Clients müssen einen Treiber von
Windows Update herunterladen oder den Benutzer auffordern, selbst passende Treiber
bereitzustellen.
Wenn Sie den Druckserver verwalten, haben Sie die Gelegenheit, Druckertreiber für andere
Prozessorarchitekturen zu speichern. Dabei können Sie frei auswählen, für welche Drucker-
modelle Sie welche Treiber speichern. Beispielsweise können Sie einen 32-Bit-Druckertrei-
ber zu einem 64-Bit-Druckserver hinzufügen, damit 32-Bit-Windows 7-Clients automatisch
den für sie passenden Treiber herunterladen können.
Lektion 1: Problembehandlung für Netzwerkdrucker 113

Gehen Sie folgendermaßen vor, um Treiber für andere Prozessorarchitekturen zu speichern:


1. Klicken Sie im Startmenü auf Geräte und Drucker.
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl
Druckereigenschaften.
3. Klicken Sie auf der Registerkarte Freigabe auf Zusätzliche Treiber.
4. Wählen Sie im Dialogfeld Zusätzliche Treiber die Prozessorarchitekturen aus, für die Sie
Treiber speichern möchten. In der Standardeinstellung stehen nur Treiber für die Prozes-
sorarchitektur des Servers zur Verfügung. Klicken Sie auf OK.
5. Wählen Sie im Dialogfeld Druckertreiber installieren den Pfad aus, in dem die Treiber
liegen. Wenn Sie beispielsweise die 32-Bit-Version von Windows 7 einsetzen und auto-
matisch Druckertreiber für Clients bereitstellen wollen, die unter der 64-Bit-Version von
Windows 7 laufen, müssen Sie die 64-Bit-Version der Treiber herunterladen und in die-
sem Dialogfeld auswählen. Klicken Sie zweimal auf OK.

Hinweis Suchen nach Treibern


Sie können Windows-Treiber nicht direkt von der Windows 7-DVD nehmen, weil alle Sys-
temdateien in der Datei \Sources\Install.wim zusammengefasst sind. Um sich den Inhalt
einer .wim-Datei anzusehen, müssen Sie das Windows Automated Installation Kit (AIK; als
kostenloser Download bei microsoft.com erhältlich) installieren und die .wim-Datei dann mit
dem Befehlszeilentool ImageX als Ordner im Dateisystem bereitstellen. Zum Beispiel stellt
der Befehl imagex /mount D:\sources\install.wim 1 C:\Win7 die Datei Install.wim im leeren
Ordner C:\Win7 bereit. Stellt ein Hardwarehersteller nur ausführbare Dateien bereit, um
seine Treiber zu installieren, können Sie die Treiber auf einem Clientcomputer installieren,
der die passende Prozessorarchitektur hat, und ihn dann von diesem Computer kopieren.

Gehen Sie folgendermaßen vor, um Treiber für beliebige Drucker zu speichern:


1. Klicken Sie im Startmenü auf Geräte und Drucker.
2. Wählen Sie einen Drucker aus und klicken Sie in der Symbolleiste auf Druckerserver-
eigenschaften.
3. Klicken Sie im Dialogfeld Eigenschaften von Druckerserver auf der Registerkarte Treiber
auf Hinzufügen.
Der Assistent für die Druckertreiberinstallation wird gestartet.
4. Klicken Sie auf der Seite Willkommen auf Weiter.
5. Wählen Sie auf der Seite Prozessor- und Betriebssystemauswahl die Prozessorarchitek-
turen aus, für die Sie Treiber installieren wollen. Klicken Sie auf Weiter.
6. Wählen Sie auf der Seite Druckertreiberauswahl die gewünschten Treiber aus der Liste
der Treiber aus, die in Windows 7 enthalten sind. Wird ein benötigter Treiber hier nicht
angeboten, können Sie ihn herunterladen und dann auf Datenträger klicken, um ihn aus-
zuwählen. Klicken Sie auf Weiter.
7. Klicken Sie auf Fertig stellen.
8. Geben Sie bei Bedarf einen Pfad für die Druckertreiber an.
114 Kapitel 3: Drucker

Wenn das Problem durch das Aktualisieren des Treibers nicht beseitigt wird oder keine neuere
Treiberversion verfügbar ist, sollten Sie prüfen, ob das Problem verschwindet, wenn Sie die
erweiterten Druckfunktionen deaktivieren. Gehen Sie dazu folgendermaßen vor:
1. Klicken Sie im Startmenü auf Geräte und Drucker.
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl
Druckereigenschaften.
3. Deaktivieren Sie auf der Registerkarte Erweitert des Dialogfelds Druckereigenschaften
das Kontrollkästchen Erweiterte Druckfunktionen aktivieren und klicken Sie auf OK.

Problembehandlung für Point-and-Print


In der Standardeinstellung dürfen Windows 7-Standardbenutzern nur vertrauenswürdige
Treiber installieren. Als vertrauenswürdig stuft Windows 7 Treiber ein, die in Windows
enthalten sind oder deren Treiber in digital signierten Druckertreiberpaketen ausgeliefert
werden. Sind die Benutzer darauf beschränkt, nur vertrauenswürdige Treiber zu installieren,
verringern Sie die Gefahr, dass ein nichtvertrauenswürdiger Treiber die Systemstabilität
schädigt (weil der Treiber instabil ist) oder böswillig agiert (weil es sich um Malware han-
delt). Windows 7 bringt sehr viele Druckertreiber mit, daher können die meisten Benutzer
die Verbindung zu Druckern herstellen, während sie auf Reisen sind, und passende Treiber
bei Bedarf installieren.

Abbildung 3.3 Point-and-Print-Einschränkungen können Probleme


beim Verwenden neuer Drucker verursachen
Lektion 1: Problembehandlung für Netzwerkdrucker 115

In Windows Vista und Windows 7 wird die Fähigkeit, Druckertreiber automatisch zu instal-
lieren, als Point-and-Print bezeichnet. Mithilfe der Gruppenrichtlinieneinstellungen Point-
and-Print-Einschränkungen und Point-and-Print für Pakete – Genehmigte Server können
Sie Point-and-Print auf bestimmte Server beschränken. Falls Sie bemerken, dass Point-and-
Print nicht funktioniert, sollten Sie sicherstellen, dass die Einstellung Point-and-Print-Ein-
schränkungen nicht aktiviert ist, oder den Druckserver zur Liste der genehmigten Point-and-
Print-Druckserver hinzufügen.
Werden Benutzer mit unerwünschten Eingabeaufforderungen der Benutzerkontensteuerung
(User Account Control, UAC) konfrontiert, können Sie die Richtlinie Point-and-Print-Ein-
schränkungen aktivieren und die Einstellungen für Sicherheitshinweise anpassen (Abbil-
dung 3.3).

Behandeln von Netzwerkproblemen


Tauchen beim Herstellen der Verbindung zu freigegebenen Druckern Probleme auf, kommen
unterschiedliche Ursachen in Frage:
„ Der Client findet den Server wegen eines Namensauflösungsproblems nicht.
„ Eine Firewall verhindert, dass der Client mit dem Server kommunizieren kann.
„ Der Server weist die Anmeldeinformationen des Benutzers zurück.
In den meisten Fällen beginnt die Problembehandlung für Drucker mit dem Anruf eines
Benutzers, bei dem etwas nicht funktioniert. Daher beginnen Sie Ihre Problembehandlung
üblicherweise auf dem Clientcomputer. Abhängig vom konkreten Problem müssen Sie sich
unter Umständen auch am Druckserver anmelden. Die folgenden Abschnitte beschreiben
den Ablauf der Problembehandlung; dabei wird vorausgesetzt, dass sowohl Client als auch
Server Domänenmitglieder sind.
Weitere Informationen über das Behandeln von Netzwerkproblemen finden Sie in Kapitel 2,
»Netzwerk«. Sehen Sie sich zu diesem Thema auch Anhang E an.

Probleme mit Druckerfreigaben vom Client aus behandeln


Gehen Sie folgendermaßen vor, um Probleme beim Herstellen einer Verbindung zu freige-
gebenen Druckern zu behandeln:
1. Beenden Sie den Dienst Offlinedateien, sofern er läuft. Während dieser Dienst läuft,
meldet Windows unter Umständen, dass es eine Verbindung zu einem Remoteserver
herstellen kann, obwohl der Server nicht verfügbar ist. Sie können den Dienst Offline-
dateien in der Konsole Dienste beenden oder indem Sie in einer administrativen Ein-
gabeaufforderung den Befehl net stop cscservice ausführen.
2. Wenn Sie eine Verbindung mithilfe der Datei- und Druckerfreigabe herstellen statt über
IPP (Internet Printing Protocol) oder LPD/LPR (Line Printer Daemon/Line Printer Re-
mote), sollten Sie versuchen, von Hand eine NetBIOS-Verbindung aufzubauen. Öffnen
Sie dazu eine Eingabeaufforderung und führen Sie den Befehl net view \\<server> aus.
Gelingt die Verbindung, verrät Ihnen das den genauen Namen des freigegebenen Dru-
ckers. Sie wissen somit, dass es sich nicht um ein Netzwerk- oder Firewallproblem
handelt. Erhalten Sie die Meldung »Zugriff verweigert«, wenn Sie versuchen, eine
Verbindung zum Drucker herzustellen, besitzt das Benutzerkonto keine ausreichenden
Berechtigungen, um auf den freigegebenen Drucker zuzugreifen. Abhängig von der
116 Kapitel 3: Drucker

Serverkonfiguration können Sie die Authentifizierungsprobleme möglicherweise


genauer einkreisen, indem Sie sich das Sicherheitsereignisprotokoll auf dem Server
ansehen. Weitere Informationen über die Sicherheitsüberwachung finden Sie im Ab-
schnitt »Überwachen von Druckerereignissen« weiter oben in dieser Lektion. Wie Sie
Privilegien anpassen, erfahren Sie im Abschnitt »Probleme mit Druckerfreigaben vom
Server aus behandeln« weiter unten in dieser Lektion.
3. Sofern Sie den Dienst Offlinedateien in Schritt 1 beendet haben, müssen Sie ihn nun
wieder starten. Dazu können Sie die Konsole Dienste verwenden oder in einer adminis-
trativen Eingabeaufforderung den Befehl net start cscservice ausführen.
4. Überprüfen Sie, ob Sie den Namen des Servers auflösen können, wie in Lektion 2, »Pro-
blembehandlung für die Namensauflösung«, von Kapitel 2 beschrieben. Gelingt das
nicht, weil der DNS-Server (Domain Name System) offline ist, können Sie das Namens-
auflösungsproblem umgehen, indem Sie direkt die IP-Adresse (Internet Protocol) des
Servers statt seines Hostnamens verwenden. Statt also eine Verbindung zu \\<Server-
name>\Drucker herzustellen, verwenden Sie beispielsweise \\10.1.42.22\Drucker.
5. Sofern Sie für die Verbindung die Datei- und Druckerfreigabe benutzen, sollten Sie mit
PortQry testen, ob der Client eine Verbindung zu TCP-Port 445 oder 139 auf dem Server
herstellen kann. Verwenden Sie dagegen IPP, müssen Sie testen, ob eine Verbindung zu
TCP-Port 80 auf dem Server möglich ist.
Gelingt es Ihnen an diesem Punkt immer noch nicht, eine Verbindung aufzubauen, müssen
Sie die Problembehandlung vom Server aus fortsetzen, wie im nächsten Abschnitt beschrie-
ben.

Schnelltest
Mit welchen Tools können Sie sicherstellen, dass keine Firewall die Ursache ist, wenn Sie
über das Netzwerk keine Verbindung zu einem freigegebenen Drucker aufbauen können?
Antwort zum Schnelltest
Sie können mit dem Befehl net use eine Verbindung zum Druckserver herstellen oder mit
dem Tool PortQry sicherstellen, dass der Server eingehende Netzwerkverbindungen auf
den Ports entgegennimmt, die für die Druckerfreigabe benutzt werden (in erster Linie
TCP 445 oder TCP 139).

Probleme mit Druckerfreigaben vom Server aus behandeln


Gehen Sie folgendermaßen vor, wenn Probleme bei der Freigabe eines Druckers auf einem
Windows 7-Computer auftauchen:
1. Überprüfen Sie, ob Sie auf dem Druckserver selbst drucken können. Ist das nicht mög-
lich, liegt das Problem möglicherweise gar nicht bei der Druckerfreigabe. Führen Sie
stattdessen eine Problembehandlung für den lokalen Drucker durch. Beginnen Sie mit
dem Problembehandlungsmodul Drucker, wie im Abschnitt »Verwenden des Problem-
behandlungsmoduls Drucker« weiter oben in dieser Lektion beschrieben. Löschen Sie
alle Dokumente aus der Druckerwarteschlange, wie im Abschnitt »Problembehandlung
für die Druckerwarteschlange« weiter oben in dieser Lektion beschrieben, und versuchen
Sie erneut, etwas auszudrucken. Funktioniert der Ausdruck immer noch nicht, sollten Sie
Lektion 1: Problembehandlung für Netzwerkdrucker 117

den Drucker mit dem neuesten Treiber neu installieren, wie im Abschnitt »Aktualisieren
eines Treibers für den Druckserver« weiter oben in dieser Lektion beschrieben.
2. Überprüfen Sie, ob der Drucker freigegeben ist. Klicken Sie dazu mit der rechten Maus-
taste auf den Drucker und wählen Sie den Befehl Druckereigenschaften. Klicken Sie
dann auf die Registerkarte Freigabe und stellen Sie sicher, dass das Kontrollkästchen
Drucker freigeben aktiviert ist.
3. Eigentlich müsste das Problembehandlungsmodul Drucker bereits sichergestellt haben,
dass die Dienste Server und Druckwarteschlange laufen, aber Sie sollten diesen Punkt
nochmals von Hand überprüfen. Klicken Sie dazu im Startmenü mit der rechten Maus-
taste auf Computer und wählen Sie den Befehl Verwalten. Wählen Sie unter Dienste und
Anwendungen den Knoten Dienste aus. Überprüfen Sie, ob die Dienste Server und
Druckwarteschlange laufen und ihr Starttyp auf Automatisch steht.
4. Überprüfen Sie, ob die Benutzer die erforderliche Berechtigung haben, um auf die Res-
sourcen zuzugreifen. Klicken Sie dazu mit der rechten Maustaste auf den Drucker und
wählen Sie den Befehl Druckereigenschaften. Klicken Sie im Dialogfeld Druckereigen-
schaften auf die Registerkarte Sicherheit. Überprüfen Sie, ob das Benutzerkonto Mit-
glied einer Gruppe ist, die in der Liste aufgeführt wird, und ob das Zulassen-Kontroll-
kästchen in der Zeile Drucken aktiviert ist. Befindet sich das Konto nicht in der Liste,
müssen Sie es hinzufügen und ihm die Zulassen-Berechtigung für Drucken gewähren.
5. Überprüfen Sie die Windows-Firewallausnahmen, um sicherzustellen, dass sie richtig
konfiguriert sind. Gehen Sie dazu folgendermaßen vor:
a. Klicken Sie im Startmenü auf Systemsteuerung.
b. Klicken Sie auf System und Sicherheit und dann auf Windows-Firewall.
c. Merken Sie sich, welcher Netzwerkstandort im Dialogfeld Windows-Firewall ange-
zeigt wird. Klicken Sie auf Ein Programm oder Feature durch die Windows-Firewall
zulassen.
d. Stellen Sie im Fenster Zugelassene Programme sicher, dass das Kontrollkästchen
Datei- und Druckerfreigabe aktiviert ist. Sollte das nicht der Fall sein, müssen Sie
auf Einstellungen ändern klicken und das Kontrollkästchen für den aktuellen Netz-
werkstandort aktivieren. Ist das Kontrollkästchen bereits aktiviert, sollten Sie prüfen,
ob keine andere Firewallregel die Datei- und Druckerfreigabe blockiert. Klicken Sie
auf OK.

Firewallkonfiguration
Wie alle Firewalls blockiert auch die Windows-Firewall bestimmten Netzwerkverkehr,
der nicht explizit erlaubt ist. Die meisten Firewalls blockieren standardmäßig eingehende
Verbindungen (Verbindungen, die von einem Client an einen Server gesendet werden)
und erlauben alle ausgehenden Verbindungen (Verbindungen von einem Server an einen
Client). Sofern daher die Druckerfreigabe auf einem Druckserver nicht explizit erlaubt
ist, können die Clients keine Verbindung aufbauen. Treten also Probleme auf, weil Clients
keine Verbindung zu einem Druckserver herstellen können, sollten Sie die Firewallkon-
figuration auf dem Druckserver überprüfen. Befinden sich Client und Server nicht im
selben LAN (Local Area Network), müssen Sie auch die Konfiguration aller Firewalls
untersuchen, die möglicherweise den Verkehr zwischen Client und Server blockieren.
118 Kapitel 3: Drucker

Wie Sie die Firewall richtig konfigurieren, hängt davon ab, welches Netzwerkprotokoll
eingesetzt wird, um die Verbindung zum Druckserver herzustellen:
„ Datei- und Druckerfreigabe Diese Art Druckerverbindung benutzt einen UNC-
Pfad (Universal Naming Convention), zum Beispiel \\Servername\Drucker oder
\\192.168.1.10\Drucker. Ist die Ausnahme Datei- und Druckerfreigabe auf dem
Druckserver aktiviert, wie in Abbildung 3.4 gezeigt, erlaubt die Windows-Firewall
Verbindungen zum freigegebenen Drucker. Diese Firewallausnahme wird automatisch
aktiviert, wenn Sie einen Drucker freigeben. Es könnte aber passieren, dass Adminis-
tratoren die Ausnahme entweder von Hand oder mithilfe von Gruppenrichtlinien ent-
fernt haben.

Abbildung 3.4 Überprüfen, ob die Firewallausnahme Datei- und


Druckerfreigabe aktiviert ist

„ Internet Printing Protocol (IPP) Diese Art Druckerverbindung benutzt einen


URL-Pfad (Universal Resource Locator) wie http://server/printers/printer/.printer.
Windows Vista und Windows 7 können nur als IPP-Client agieren, aber keine Dru-
cker über IPP freigeben. Dagegen sind Windows XP, Windows Server 2003 und Win-
dows Server 2008 in der Lage, Drucker mit IPP freizugeben. Bei HTTP-Verbindungen
muss der Server eingehende Verbindungen über TCP-Port 80 erlauben, bei HTTPS-
Verbindungen eingehende Verbindungen über TCP-Port 443.
Lektion 1: Problembehandlung für Netzwerkdrucker 119

Übung Behandeln von Druckerproblemen


In dieser Übung behandeln Sie zwei unterschiedliche Druckerprobleme.

Übung 1 Problembehandlung für die Druckerfreigabe


In dieser Übung führen Sie eine Problembehandlung für einen Clientcomputer durch, der
nicht auf einem Druckserver ausdrucken kann.
1. Schließen Sie einen Drucker an Ihren Domänencontroller DC1 an. Stattdessen können
Sie auch einen Drucker an irgendeinen Windows 7- oder Windows Server 2008 R2-
Computer in Ihrer Testumgebung anschließen. Dieser Computer sollte aber nicht zur
Produktivumgebung gehören. Sofern Sie keinen Drucker haben, können Sie auch ein-
fach von Hand einen Druckertreiber für einen fiktiven Drucker installieren, obwohl gar
keiner vorhanden ist.
2. Geben Sie den Drucker auf DC1 folgendermaßen frei:
a. Klicken Sie auf dem Domänencontroller DC1 im Startmenü auf Geräte und Drucker.
b. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl
Druckereigenschaften.
c. Aktivieren Sie auf der Registerkarte Freigabe die Kontrollkästchen Drucker frei-
geben und Im Verzeichnis anzeigen. Klicken Sie auf OK.
3. Stellen Sie auf CLIENT1 folgendermaßen eine Verbindung zum Drucker her:
a. Klicken Sie auf CLIENT1 im Startmenü auf Geräte und Drucker.
b. Klicken Sie auf Drucker hinzufügen.
Der Assistent Drucker hinzufügen wird gestartet.
a. Klicken Sie auf der Seite Welchen Druckertyp möchten Sie installieren? auf Einen
Netzwerk-, Drahtlos- oder Bluetoothdrucker hinzufügen.
b. Wählen Sie auf der nächsten Seite den Drucker aus, den Sie auf DC1 freigegeben
haben, und klicken Sie auf Weiter.
c. Klicken Sie auf der nächsten Seite auf Weiter.
d. Klicken Sie auf Testseite drucken, um zu überprüfen, ob der Drucker richtig instal-
liert ist. Klicken Sie dann auf Fertig stellen.
4. Überprüfen Sie auf DC1, ob die Seite richtig ausgedruckt wird. Sollten Sie keinen echten
Drucker angeschlossen haben, können Sie im Fenster Geräte und Drucker doppelt auf
das Druckersymbol klicken und sicherstellen, dass sich ein Dokument in der Warte-
schlange befindet.
5. Wechseln Sie auf DC1 in den Ordner, in dem Sie die Übungsskripts für Kapitel 3 von
der Begleit-CD installiert haben, klicken Sie mit der rechten Maustaste auf das Skript
Ch3-lesson1-ex1-script1.cmd und wählen Sie den Befehl Als Administrator ausführen.
Damit erzeugen Sie ein Druckerproblem, das Sie in den nächsten Schritten beseitigen.
6. Versuchen Sie erneut, von CLIENT1 aus ein Dokument auszudrucken. Klicken Sie dazu
im Fenster Geräte und Drucker mit der rechten Maustaste auf den Drucker, wählen Sie
den Befehl Druckereigenschaften und klicken Sie auf der Registerkarte Allgemein des
Dialogfelds Druckereigenschaften auf Testseite drucken. Wie Sie sehen, wird das Doku-
120 Kapitel 3: Drucker

ment zur Druckerwarteschlange auf CLIENT1 hinzugefügt, taucht aber nicht in der Dru-
ckerwarteschlange von DC1 auf. Das deutet darauf hin, dass die Verbindung zwischen
Client und Server unterbrochen ist.
7. Führen Sie auf CLIENT1 eine Problembehandlung für die Netzwerkverbindung durch.
Gehen Sie dazu folgendermaßen vor:
a. Öffnen Sie eine administrative Eingabeaufforderung und versuchen Sie, DC1 von
CLIENT1 aus mit Ping zu erreichen. Das müsste gelingen, was zeigt, dass CLIENT1
und DC1 kommunizieren können.
b. Versuchen Sie in derselben Eingabeaufforderung auf CLIENT1, den Dienst Offline-
dateien zu beenden, indem Sie den Befehl net stop cscservice ausführen. Merken
Sie sich, ob der Dienst schon beendet war oder ob Windows 7 ihn beendet hat.
c. Versuchen Sie in derselben Eingabeaufforderung auf CLIENT1, eine NetBIOS-Ver-
bindung herzustellen. Führen Sie dazu den Befehl net view \\dc1 aus. Wie Sie sehen,
schlägt der Verbindungsversuch mit der Meldung »Der Netzwerkname wurde nicht
gefunden« fehl. Das bedeutet, dass CLIENT1 keine Verbindung zum Serverdienst auf
DC1 herstellen kann. Sie wissen aber, dass der Computer läuft und mit dem Netzwerk
verbunden ist, weil der vorherige Ping-Test erfolgreich war. Daraus können Sie
schließen, dass der Serverdienst nicht verfügbar ist.
d. Sofern Sie den Dienst Offlinedateien in Schritt b beendet haben, sollten Sie ihn nun
wieder starten, indem Sie in der administrativen Eingabeaufforderung auf CLIENT1
den Befehl net start cscservice ausführen.
e. Überprüfen Sie, ob der Serverdienst läuft. Wählen Sie dazu auf DC1 im Startmenü
unter Verwaltung den Befehl Computerverwaltung. Wählen Sie in der Konsole
Computerverwaltung den Knoten Dienste und Anwendungen\Dienste aus. Blättern
Sie zum Eintrag Server und stellen Sie sicher, dass der Dienst läuft und als Starttyp
Automatisch eingestellt ist.
f. Überprüfen Sie, ob die Datei- und Druckerfreigabe in der Windows-Firewall erlaubt
ist. Klicken Sie dazu im Startmenü auf Systemsteuerung, dann auf System und Sicher-
heit und schließlich auf Programm über die Windows-Firewall kommunizieren lassen.
Stellen Sie sicher, dass das Kontrollkästchen für die Datei- und Druckerfreigabe
aktiviert ist.
g. Lassen Sie das Fenster Zugelassene Programme der Windows-Firewall offen und
sehen Sie sich die anderen Firewallregeln an. Ihnen müsste eine Regel namens
»Block File And Printer Sharing« auffallen. Wie der Name andeutet, blockiert diese
Firewallregel den Verbindungsversuch. Klicken Sie auf Einstellungen ändern und
deaktivieren Sie das Kontrollkästchen für Block File And Printer Sharing. Klicken
Sie auf OK.
8. Wechseln Sie auf DC1 zum Fenster Geräte und Drucker. Das Dokument, das Sie vorher
ausdrucken wollten, müsste sich jetzt in der Warteschlange befinden oder bereits aus-
gegeben werden. Sie haben das Problem also beseitigt.
9. Klicken Sie schließlich auf DC1 mit der rechten Maustaste auf das Skript Ch3-lesson1-
ex1-script2.cmd und wählen Sie den Befehl Als Administrator ausführen. Damit löschen
Sie die Firewallregel, die das erste Skript hinzugefügt hat. Entfernen Sie nun den Drucker,
den Sie in Schritt 1 dieser Übung hinzugefügt haben.
Lektion 1: Problembehandlung für Netzwerkdrucker 121

Übung 2 Problembehandlung für einen lokalen Drucker


In dieser Übung installieren Sie einen Drucker und beseitigen Probleme beim lokalen Aus-
druck.
1. Schließen Sie einen Drucker an Ihren Windows 7-Computer CLIENT1 an. Stattdessen
können Sie auch einen Drucker an irgendeinen Windows 7- oder Windows Server 2008
R2-Computer in Ihrer Testumgebung anschließen. Dieser Computer sollte aber nicht zur
Produktivumgebung gehören. Sofern Sie keinen Drucker haben, können Sie auch ein-
fach von Hand einen Druckertreiber für einen fiktiven Drucker installieren, obwohl gar
keiner vorhanden ist. Drucken Sie nach der Installation des Druckers eine Testseite aus,
um sicherzustellen, dass er einwandfrei arbeitet.
2. Klicken Sie mit der rechten Maustaste auf das Skript Ch3-lesson1-ex2-script1.cmd und
wählen Sie den Befehl Als Administrator ausführen. Damit erzeugen Sie ein Drucker-
problem, das Sie in den nächsten Schritten beseitigen.
3. Öffnen Sie auf CLIENT1 den Windows Internet Explorer. Drücken Sie STRG +P , um die
aktuelle Webseite auszudrucken. Sie bekommen nun eine Fehlermeldung, dass kein
Drucker installiert ist. Klicken Sie auf OK und dann auf Abbrechen.
4. Führen Sie auf CLIENT1 eine Problembehandlung für den lokalen Drucker durch. Gehen
Sie dazu folgendermaßen vor:
a. Überprüfen Sie, ob Ihr Drucker noch installiert ist. Klicken Sie im Startmenü auf
Geräte und Drucker. Wie Sie sehen, sind keine Drucker aufgelistet. Das kann passie-
ren, weil entweder alle Drucker entfernt wurden oder der Dienst Druckwarteschlange
nicht läuft.
b. Überprüfen Sie, ob der Dienst Druckwarteschlange läuft. Klicken Sie im Startmenü
mit der rechten Maustaste auf Computer und wählen Sie den Befehl Verwalten. Wäh-
len Sie in der Konsole Computerverwaltung den Knoten Dienste und Anwendungen\
Dienste aus. Blättern Sie zum Dienst Druckwarteschlange. Wie Sie sehen, steht in
der Spalte Status nicht Gestartet. Klicken Sie mit der rechten Maustaste auf den
Dienst und wählen Sie den Befehl Starten.
5. Kehren Sie zum Internet Explorer zurück und drücken Sie erneut STRG +P , um die ak-
tuelle Webseite auszudrucken. Klicken Sie auf Drucken, um sicherzustellen, dass der
Ausdruck jetzt funktioniert.
6. Entfernen Sie nun den Drucker, den Sie in Schritt 1 dieser Übung hinzugefügt haben.

Zusammenfassung der Lektion


„ Verwenden Sie das in Windows 7 eingebaute Problembehandlungsmodul Drucker, um
Probleme zu diagnostizieren und häufiger vorkommende schnell zu beseitigen.
„ Sehen Sie im Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\
PrintService\Administrator nach, ob Windows 7 Ereignisse aufgezeichnet hat, die mit
Druckern zu tun haben. Läuft der Druckserver unter Windows Server 2008 R2, können
Sie die Objektzugriffsüberwachung aktivieren, sodass Ereignisse in das Sicherheitsereig-
nisprotokoll eingetragen werden, sobald Benutzer auf Drucker zugreifen.
122 Kapitel 3: Drucker

„ Sie können mehrere Gruppenrichtlinieneinstellungen konfigurieren, die bei der Problem-


behandlung für Drucker hilfreich sind, insbesondere bei Problemen im Bereich der Trei-
ber.
„ Bei Druckservern müssen die Dienste Druckwarteschlange und Server laufen, damit sie
einen Drucker freigeben können. Das häufigste Problem bei einem Druckserver ist, dass
die Druckerwarteschlange keine Druckaufträge mehr abarbeitet. Starten Sie in einem
solchen Fall den Dienst Druckwarteschlange neu.
„ Sowohl auf dem Druckserver als auch dem Client muss ein Druckertreiber installiert
sein. Treiber können Sie im Dialogfeld Druckereigenschaften aktualisieren. Lässt sich
ein Treiberupdate nicht richtig installieren, können Sie den Drucker einfach entfernen
und neu installieren.
„ Tauchen Probleme auf, wenn über das Netzwerk auf einen freigegebenen Drucker zuge-
griffen wird, sollten Sie prüfen, ob der Client den Namen des Servers auflösen kann, ob
keine Firewall die Kommunikation der Datei- und Druckerfreigabe blockiert und ob der
Client eine Datei- und Druckerfreigabeverbindung zum Server herstellen kann.

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1, »Pro-
blembehandlung für Netzwerkdrucker«, überprüfen. Die Fragen finden Sie (in englischer
Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen
eines Übungstests beantworten.

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Ein Benutzer versucht, über den UNC-Namen \\<Servername>\Drucker eine Verbin-


dung zu einem Netzwerkdrucker herzustellen. Dabei erhält er die Fehlermeldung »Win-
dows konnte keine Verbindung zu Drucker herstellen«. Was dürfte die Ursache für das
Problem sein?
A. Der Dienst Server läuft nicht auf dem Client.
B. Der Dienst Arbeitsstationsdienst läuft nicht auf dem Server.
C. Auf dem Server ist nicht die Firewallausnahme Datei- und Druckerfreigabe aktiviert.
D. Auf dem Client ist nicht die Firewallausnahme Datei- und Druckerfreigabe aktiviert.
2. Ein Benutzer konnte seine Dokumente bis vor Kurzem einwandfrei auf einem Netzwerk-
drucker ausgeben, aber jetzt scheint der Drucker nicht mehr verfügbar zu sein. Sie wollen
prüfen, ob alle erforderlichen Dienste laufen. Welche der folgenden Dienste werden auf
dem Druckserver benötigt? (Wählen Sie alle zutreffenden Antworten aus.)
A. Arbeitsstationsdienst
B. Druckwarteschlange
C. Server
D. Peer Name Resolution-Protokoll
Lektion 1: Problembehandlung für Netzwerkdrucker 123

3. Ein Benutzer ruft Sie an, weil er ein Problem mit seinem Drucker hat. Wenn er einen
umfangreichen Druckauftrag ausgibt, fügt der Drucker zwischen jeder normalen Seite
eine Leerseite ein. Sie untersuchen das Problem und stellen fest, dass es mit dem Treiber
zu tun hat. Der Hardwarehersteller empfiehlt, einen Treiber für einen anderen Drucker
zu verwenden, um das Problem zu beseitigen. Welches Tool sollten Sie verwenden, um
den Treiber zu ändern?
A. Konsole Dienste
B. Geräte-Manager
C. Ereignisanzeige
D. Dialogfeld Druckereigenschaften
124 Kapitel 3: Drucker

Rückblick auf dieses Kapitel


Sie können die in diesem Kapitel erworbenen Fähigkeiten folgendermaßen einüben und
vertiefen:
„ Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.
„ Lesen Sie die Liste der Schlüsselbegriffe durch, die in diesem Kapitel eingeführt wurden.
„ Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle
aus der Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie wer-
den aufgefordert, eine Lösung zu entwickeln.
„ Führen Sie die vorgeschlagenen Übungen durch.
„ Machen Sie einen Übungstest.

Zusammenfassung des Kapitels


„ Probleme mit Netzwerkdruckern können unterschiedliche Ursachen haben: Druckertrei-
ber auf Client oder Server, die Druckerwarteschlange, Druckerberechtigungen und Netz-
werkkonnektivität.
„ Um Treiberprobleme zu beseitigen, sollten Sie die neueste Treiberversion auf dem Druck-
server installieren oder den Treiber ersetzen, indem Sie den Drucker neu installieren.
Außerdem können Sie Druckertreiber auf dem Druckserver speichern, damit neue Clients
diesen Druckertreiber automatisch installieren können.
„ Probleme mit der Druckerwarteschlange können Sie beseitigen, indem Sie den Dienst
Druckwarteschlange neu starten.
„ Um Probleme im Bereich von Druckerberechtigungen zu untersuchen, sollten Sie die
Überwachung aktivieren und das Sicherheitsereignisprotokoll auswerten. Sicherheits-
probleme beseitigen Sie, indem Sie die Druckerberechtigungen anpassen.
„ Sie können die normalen Tools für die Netzwerkproblembehandlung einsetzen, um Pro-
bleme mit der Verbindung zu Netzwerkdruckern zu untersuchen. Verwenden Sie den
Befehl net use, um zu überprüfen, ob Sie eine Verbindung zu einem Druckserver aufbauen
können.

Schlüsselbegriffe
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten über-
prüfen, indem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.
„ Druckerwarteschlange
„ Point-and-Print

Übungen mit Fallbeispiel


In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die in diesem
Kapitel behandelten Themen gelernt haben. Die Lösungen zu den Fragen finden Sie im
Abschnitt »Antworten« hinten in diesem Buch.
Vorgeschlagene Übungen 125

Übung mit Fallbeispiel 1: Probleme aufgrund ungenügender Privilegien


Ihre Chefin ruft Sie in ihr Büro, weil sie keine Verbindung zu einem Netzwerkdrucker her-
stellen kann. Der Drucker wird im Assistenten Drucker hinzufügen aufgelistet, aber wenn sie
ihn auswählt, wird sie nach Benutzername und Kennwort gefragt. Gibt sie ihren AD DS-
Benutzernamen und das Kennwort ein, bekommt sie die Meldung »Die angegebenen An-
meldeinformationen beinhalten keine ausreichenden Zugriffsrechte auf den Drucker«.
Beantworten Sie Ihrer Chefin folgende Fragen:
1. Warum bekommt Sie die Fehlermeldung?
2. Wie beseitigen Sie das Problem?

Übung mit Fallbeispiel 2: Behandeln eines Druckerproblems


Ein Benutzer ruft Sie an, weil er seine Dokumente nicht auf einem Netzwerkdrucker aus-
geben kann. Sie kennen den Drucker und wissen, dass er über einen Computer freigegeben
wird, der unter Windows Server 2008 R2 läuft. Der Benutzer hat früher erfolgreich auf
diesem Drucker ausgedruckt.
Sie melden sich am Druckserver an und stellen sicher, dass der Ausdruck direkt auf dem
Server möglich ist. Außerdem stellen Sie fest, dass der Benutzer ausreichende Privilegien
hat.
Beantworten Sie die folgenden Fragen zum Ablauf der Problembehandlung:
1. Welche Fragen sollten Sie dem Benutzer stellen?
2. Wie kreisen Sie die Ursache für das Problem ein?
3. Welches sind mögliche Ursachen für das Problem?

Vorgeschlagene Übungen
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die in diesem Kapitel behan-
delten Prüfungsziele meistern wollen.

Untersuchen und Beseitigen von Problemen mit Netzwerkdruckern


Für eine effiziente Problembehandlung brauchen Sie praktische Erfahrung. Dieses Kapitel
stellt zwar Konzepte und Tools vor, aber nur in der Praxis erwerben Sie die Fähigkeiten, die
Sie brauchen, um Probleme mit Netzwerkdruckern zu beseitigen und die Prüfung zu bestehen.
Arbeiten Sie so viele dieser Übungen durch wie möglich, um Ihre Fähigkeiten im Bereich
der Problembehandlung zu erweitern.
„ Übung 1 Besuchen Sie http://social.answers.microsoft.com/Forums/de-DE/category/
windows7 und suchen Sie die Newsgroup »Hardware und Treiber«. Lesen Sie die Nach-
richten durch, um festzustellen, wie die Teilnehmer ihre unterschiedlichen Probleme mit
Druckern gelöst haben.
„ Übung 2 Stellen Sie eine Verbindung zu einem freigegebenen Drucker her und simu-
lieren Sie unterschiedliche Hardwareprobleme, um zu beobachten, wie der Client dem
Benutzer die Fehler meldet. Trennen Sie erst den freigegebenen Drucker vom Druckser-
ver. Nehmen Sie dann das Papier aus dem Drucker. Deaktivieren Sie zuletzt die Freigabe
des Druckers.
126 Kapitel 3: Drucker

„ Übung 3 Stellen Sie mit dem Befehl net use eine Verbindung von einem Windows 7-
Client zu einem Server her.
„ Übung 4 Geben Sie einen Drucker frei. Fügen Sie Druckertreiber für eine andere Pro-
zessorarchitektur hinzu, damit Clients, die diese Prozessorarchitektur verwenden, den
Druckertreiber automatisch installieren können.

Machen Sie einen Übungstest


Die Übungstests (in englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahl-
reiche Möglichkeiten. Zum Beispiel können Sie einen Test machen, der ausschließlich die
Themen aus einem Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesam-
ten Inhalt der Prüfung 70-685 testen. Sie können den Test so konfigurieren, dass er dem
Ablauf einer echten Prüfung entspricht, oder Sie können einen Lernmodus verwenden, in
dem Sie sich nach dem Beantworten einer Frage jeweils sofort die richtige Antwort und
Erklärungen ansehen können.

Weitere Informationen Übungstests


Einzelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, finden Sie im
Abschnitt »So benutzen Sie die Übungstests« in der Einführung am Anfang dieses Buchs.
127

K A P I T E L 4

Sicherheit

Bei manchen Benutzern fangen die Probleme schon an, bevor sie sich überhaupt anmelden.
Die Authentifizierung, also der Prozess, bei dem Benutzer identifiziert und ihre Anmelde-
informationen überprüft werden, kann in einer Windows 7-Umgebung sehr komplex sein.
Privatbenutzer haben nur selten Probleme, da sie lediglich ihre Benutzernamen und Kenn-
wörter eintippen müssen. Aber in AD DS-Umgebungen (Active Directory Domain Services)
werden Benutzer bei Domänencontrollern und anderen Servern im Netzwerk authentifiziert.
Neben Kennwörtern werden bei der Authentifizierung außerdem oft Smartcards oder bio-
metrische Verfahren eingesetzt. Die Benutzerkontensteuerung (User Account Control, UAC)
zieht eine weitere Komplexitätsschicht ein, weil sich ein Benutzer während ein und der-
selben Sitzung unter Umständen mit mehreren unterschiedlichen Anmeldeinformationen
authentifizieren muss.
In den letzten Jahren wurden immer häufiger Sicherheitslücken ausgenutzt, wenn Benutzer
eine Website besuchen. Zum Beispiel kann eine Website versuchen, den Benutzer durch
einen Trick dazu zu bringen, vertrauliche Informationen einzugeben, oder sie kann eine
Sicherheitslücke im Browser ausnutzen, um ohne die explizite Genehmigung des Benutzers
Code auszuführen. In Windows 7 stellt der Microsoft Internet Explorer 8.0 mehrere Features
bereit, um diese Gefahr zu verringern.
Auch wenn inzwischen Netzwerkangriffe am weitesten verbreitet sind, hat die gestiegene
Zahl mobiler Benutzer eine Zunahme von physischem Datendiebstahl zur Folge. Wenn
jemand einen Computer klaut, kann er alle Ihre Sicherheitskontrollen umgehen, aber nicht
die Verschlüsselung. Windows 7 bietet zwei Möglichkeiten, die Dateien auf Ihrem Computer
zu verschlüsseln: Das verschlüsselnde Dateisystem (Encrypting File System, EFS) ver-
schlüsselt einzelne Dateien und Ordner eines bestimmten Benutzers, während BitLocker
gesamte Volumes verschlüsselt.
Dieses Kapitel beschreibt, wie Sie Authentifizierung, Internet Explorer, EFS und BitLocker
konfigurieren und Probleme in diesen Bereichen beseitigen.

In diesem Kapitel abgedeckte Prüfungsziele:


„ Untersuchen und Beseitigen von Anmeldungsproblemen
„ Untersuchen und Beseitigen von Sicherheitsproblemen für Windows Internet Explorer
„ Untersuchen und Beseitigen von Verschlüsselungsproblemen

Lektionen in diesem Kapitel:


„ Lektion 1: Authentifizieren von Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
„ Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 146
„ Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung . . . . . . . . 167
128 Kapitel 4: Sicherheit

Bevor Sie beginnen


Um die Übungen in diesem Kapitel durcharbeiten zu können, sollten Sie mit Windows 7
vertraut sein und folgende Aufgaben beherrschen:
„ Installieren von Windows 7
„ Einen Computer hardwaremäßig an das Netzwerk anschließen
„ Durchführen einfacher Verwaltungsaufgaben auf einem Windows Server 2008 R2-
Domänencontroller
Lektion 1: Authentifizieren von Benutzern

Praxistipp
Tony Northrup
Für Unternehmen ist Sicherheit eine simple Rechnung: Verringert eine Gegenmaßnahme
das Risiko um mehr, als sie kostet, wird sie angewendet.
Leider ist es nur in wenigen Fällen so simpel, Gefahr und Kosten finanziell zu bewerten.
Nehmen Sie etwa die Gefahr, dass jemand einen mobilen Computer stiehlt und vertrau-
liche Dateien missbraucht. Meine Schätzungen sind hier ganz grob, aber nehmen wir an,
die Gefahr, dass ein mobiler Computer in einem Kalenderjahr gestohlen wird, betrage 2
Prozent. Unter diesen Notebooks sind vielleicht 10 Prozent, auf denen ein Dieb vertrau-
liche Informationen findet, die er missbrauchen könnte. Somit beträgt die Chance, dass
vertrauliche Daten missbraucht werden, 0,2 Prozent pro Jahr und Notebook.
Die Kosten können allerdings erheblich sein. Bei Großunternehmen könnte ein solcher
Fall Millionen kosten. Nehmen wir an, ein einziger Vorfall verursacht einen Schaden von
10 Millionen Euro. Hat das Unternehmen 100 Computer, die vertrauliche Daten spei-
chern, beträgt das Gesamtrisiko 2 Millionen Euro jährlich.
Bei einem Risiko von 2 Millionen Euro pro Jahr will das Unternehmen nicht mehr als
diesen Betrag aufwenden, um sich gegen die Gefahr abzusichern. Windows 7 enthält die
BitLocker-Laufwerkverschlüsselung, um die Gefahr des Datenmissbrauchs nach dem
Diebstahl eines Computers zu verringern. Es ist aber wirkungslos, wenn ein Benutzer
gerade angemeldet ist, der Dieb auch das USB-Flashlaufwerk (Universal Serial Bus)
klaut oder der Angreifer die Geheimzahl (Personal Identification Number, PIN) des
Benutzers errät. Nehmen wir für unsere Beispielrechnung an, dass die Gefahr beim
Diebstahl von Computern um 80 Prozent verringert wird, wenn die Benutzer ordentlich
geschult sind, unbenutzte Computer automatisch verriegelt werden und BitLocker-Lauf-
werkverschlüsselung mit einem USB-Flashlaufwerk oder einer PIN als Startschlüssel
eingesetzt wird.
Indem Sie das 2-Millionen-Euro-Risiko um 80 Prozent senken, spart das dem Unterneh-
men 1,6 Millionen Euro jährlich ein. Gewisse Zusatzkosten müssen Sie dafür allerdings
aufwenden. Die IT-Abteilung muss Computer, die vertrauliche Daten enthalten, auf Win-
dows 7 aktualisieren, bei Bedarf muss die Hardware aufgerüstet werden und die Benutzer
müssen geschult werden. Schätzen wir, dass dafür 3.000 Euro pro Benutzer als Vorlauf-
kosten fällig werden. Bleibt der Computer drei Jahre in Betrieb, betragen die Kosten
1.000 Euro pro Benutzer und Jahr beziehungsweise 100.000 Euro insgesamt. Die jähr-
liche Ersparnis reduziert sich somit von 1,6 Millionen auf 1,5 Millionen Euro. BitLocker
Lektion 1: Authentifizieren von Benutzern 129

verursacht auch laufende Kosten, besonders wenn Sie die Verwendung eines Startschlüs-
sels erzwingen. Gelegentlich vergessen Benutzer ihr USB-Flashlaufwerk oder die PIN
und bleiben von ihrem Computer ausgesperrt, wodurch Produktivität verloren geht und
Aufwand für die IT-Abteilung entsteht. Diese Kosten sind sehr schwierig zu beziffern,
aber wenn pro Jahr bei 10 Prozent der 100 Benutzer, die mit vertraulichen Daten um-
gehen, ein Problem auftritt und die Verluste an Produktivität und durch Supportaufwand
500 Euro pro Benutzer kosten, beläuft sich die Gesamtsumme auf 5.000 Euro pro Jahr.
Anhand dieser Abschätzungen für Risiko und Kosten lässt sich sagen, dass sich BitLocker
für unser fiktionales Unternehmen rentiert. Allerdings amortisieren sich nicht alle Sicher-
heitsfeatures. Wenn Sie das nächste Mal ein Sicherheitsproblem behandeln, sollten Sie
überlegen, ob die Vorteile des Sicherheitsfeatures den Aufwand, den Sie für die Problem-
behandlung aufwenden, und den Verlust an Produktivität bei den betroffenen Benutzern
tatsächlich Wert sind. Weitere Informationen finden Sie im Security Risk Management
Guide unter http://technet.microsoft.com/en-us/library/cc163143.aspx.
130 Kapitel 4: Sicherheit

Lektion 1: Authentifizieren von Benutzern


Bevor ein Benutzer sich an einem Windows 7-Computer anmelden, die Verbindung zu
einem freigegebenen Ordner herstellen oder eine geschützte Website aufrufen kann, muss
die jeweilige Ressource die Identität des Benutzers überprüfen. Das geschieht bei der soge-
nannten Authentifizierung. Windows 7 unterstützt eine ganze Reihe von Authentifizierungs-
techniken, zum Beispiel die herkömmliche Kombination aus Benutzername und Kennwort,
Smartcards und Authentifizierungskomponenten von Fremdherstellern. Außerdem kann
Windows 7 Benutzer anhand der lokalen Benutzerdatenbank oder einer AD DS-Domäne
authentifizieren.
Diese Lektion beschreibt die Funktionsweise der Authentifizierungstechnologien und erklärt,
wie Sie Anmeldungen überwachen und Authentifizierungsprobleme beseitigen.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Beschreiben der Authentifizierung und Aufzählen wichtiger Authentifizierungstechniken
„ Benutzernamen und Kennwörter manuell zur Anmeldeinformationsverwaltung hinzu-
fügen, um die automatische Authentifizierung an Netzwerkressourcen zu ermöglichen
„ Durchführen einer Problembehandlung für die Authentifizierung
Veranschlagte Zeit für diese Lektion: 25 Minuten

Was ist Authentifizierung?


Authentifizierung ist der Prozess, bei dem ein Benutzer identifiziert wird. In privaten Um-
gebungen beschränkt sich die Authentifizierung oft darauf, einen Benutzernamen auf dem
Windows 7-Anmeldebildschirm anzuklicken. In Unternehmensumgebungen wird aber bei
praktisch allen Authentifizierungsvorgängen gefordert, dass die Benutzer sowohl einen
Benutzernamen (um sich selbst zu identifizieren) als auch ein Kennwort angeben (um zu
beweisen, dass sie tatsächlich die angegebene Person sind).
Windows 7 unterstützt auch die Authentifizierung mithilfe einer Smartcard. Die Smartcard,
die ungefähr das Format einer Kreditkarte hat, enthält einen Chip, der ein Zertifikat speichert.
Dieses Zertifikat identifiziert den Benutzer eindeutig. Solange ein Benutzer die Smartcard
nicht jemand anderem überlässt, lässt sich die Identität des Benutzers ausreichend dadurch
beweisen, dass er die Smartcard in einen Computer einsteckt. Üblicherweise muss der Be-
nutzer zusätzlich ein Kennwort oder eine Geheimzahl eingeben, um zu beweisen, dass die
Smartcard nicht jemand anders gehört. Wenn Sie zwei Authentifizierungsformen kombinie-
ren (zum Beispiel eine Kennworteingabe und die Smartcard), wird das als Mehr-Faktoren-
Authentifizierung bezeichnet. Mehr-Faktoren-Authentifizierung ist viel sicherer als Ein-
Faktoren-Authentifizierung.
Biometrie ist eine andere beliebte Form der Authentifizierung. Ein Kennwort beweist Ihre
Identität, weil es sicherstellt, dass Sie »etwas wissen«, und eine Smartcard stellt sicher, dass
Sie »etwas haben«. Aber Biometrie stellt sicher, dass Sie »jemand sind«, indem ein eindeuti-
ges körperliches Merkmal überprüft wird. Die heute gebräuchlichsten biometrischen Authen-
tifizierungsmechanismen sind Fingerabdruckleser (inzwischen in viele mobile Computer
eingebaut) und Retinascanner.
Lektion 1: Authentifizieren von Benutzern 131

Hinweis Biometrie
Biometrie ist die sicherste und zuverlässigste Authentifizierungsmethode, weil das Merkmal
nicht verloren gehen oder vergessen werden kann. Sie wird allerdings auch am seltensten
eingesetzt. Zuverlässige biometrische Geräte sind für viele Organisationen zu kostspielig,
und manche Benutzer hegen eine Abneigung gegen biometrische Prüfgeräte, weil sie fürch-
ten, dass die Geräte ihre Privatsphäre verletzen.

Arbeiten mit der Anmeldeinformationsverwaltung


Die Anmeldeinformationsverwaltung (credential manager) ist ein Feature, das eine einmalige
Anmeldung ermöglicht. Es wurde ursprünglich für Windows Server 2003 und Windows XP
entwickelt, damit Benutzer ihren Benutzernamen und das Kennwort für mehrere Netzwerk-
ressourcen und Anwendungen einsetzen können. Wenn unterschiedliche Ressourcen eine
Authentifizierung erfordern, kann Windows die Anmeldeinformationen automatisch zur
Verfügung stellen, ohne dass der Benutzer sie erneut eingeben muss.
In Windows Vista und Windows 7 kann die Anmeldeinformationsverwaltung gespeicherte
Benutzernamen und Kennwörter zwischen mehreren Windows-Computern in einer AD DS-
Domäne übertragen. Windows speichert Anmeldeinformationen im AD DS-Benutzerobjekt.
Der Benutzer braucht die Anmeldeinformationen daher nur ein einziges Mal zu speichern
und kann sie anschließend von jeder Anmeldesitzung innerhalb der AD DS-Domäne aus
verwenden. Wenn Sie zum Beispiel eine Verbindung zu einem kennwortgeschützten Web-
server herstellen und das Kontrollkästchen Kennwort speichern aktivieren, kann der Micro-
soft Internet Explorer Ihr gespeichertes Kennwort später erneut abrufen, sogar wenn Sie sich
auf einem anderen Computer anmelden, der unter Windows Vista und Windows 7 läuft.
Benutzer profitieren von der Anmeldeinformationsverwaltung, selbst wenn sie gar nichts
darüber wissen. Wenn ein Benutzer zum Beispiel eine Verbindung zu einem freigegebenen
Ordner oder Drucker herstellt und das Kontrollkästchen Verbindung bei Anmeldung wieder-
herstellen aktiviert, speichert Windows 7 die Anmeldeinformationen des Benutzers automa-
tisch innerhalb der Anmeldeinformationsverwaltung. Und wenn ein Benutzer sich bei einer
Website authentifiziert, die Authentifizierung erfordert, und im Internet Explorer-Authenti-
fizierungsdialogfeld das Kontrollkästchen Kennwort speichern aktiviert, speichert der Inter-
net Explorer Benutzername und Kennwort in der Anmeldeinformationsverwaltung.

Hinweis Servergespeicherte Anmeldeinformationen


Ausführliche Informationen über servergespeicherte Anmeldeinformationen (credential
roaming) finden Sie in »Configuring and Troubleshooting Certificate Services Client-Cre-
dential Roaming« unter der Adresse http://www.microsoft.com/technet/security/guidance/
cryptographyetc/client-credential-roaming/implementation-differences.mspx.

Windows fügt Anmeldeinformationen, die für die Verbindung zu freigegebenen Ordnern


eingegeben werden, automatisch zur Anmeldeinformationsverwaltung hinzu. Sie können
allerdings auch von Hand einen Benutzernamen und das zugehörige Kennwort hinzufügen,
damit Windows diese Anmeldeinformationen automatisch für eine Gruppe von Computern
in einer anderen Domäne zur Verfügung stellen kann. Gehen Sie folgendermaßen vor, um
von Hand Benutzername und Kennwort zur Anmeldeinformationsverwaltung hinzuzufügen:
132 Kapitel 4: Sicherheit

1. Klicken Sie im Startmenü auf Systemsteuerung.


2. Klicken Sie zweimal auf den Link Benutzerkonten.
3. Klicken Sie im linken Fensterabschnitt auf den Link Eigene Anmeldeinformationen
verwalten.
Das Fenster Anmeldeinformationsverwaltung wird geöffnet (Abbildung 4.1).

Abbildung 4.1 Mithilfe der Anmeldeinformationsverwaltung authentifizieren Sie


sich automatisch bei Ressourcen, die andere Anmeldeinformationen als die Ihrer
Benutzersitzung erfordern

4. Klicken Sie auf Windows-Anmeldeinformationen hinzufügen. Daneben können Sie auch


zertifikatbasierte Anmeldeinformationen und generische Anmeldeinformationen hinzu-
fügen.
5. Geben Sie im Feld Internet- oder Netzwerkadresse den Servernamen ein. Sie können
einen Stern (*) als Platzhalter verwenden. Zum Beispiel können Sie die Anmeldeinfor-
mationen für alle Ressourcen in der Domäne contoso.com verwenden, indem Sie den
Namen »*.contoso.com« eingeben.
6. Geben Sie in den Textfeldern Benutzername und Kennwort Ihre Anmeldeinformationen
ein. Klicken Sie auf OK.

Hinweis Websites, die von der Anmeldeinformationsverwaltung automatisch


authentifiziert werden
Die einzigen Websites, bei der die Anmeldeinformationsverwaltung Sie automatisch authen-
tifizieren kann, sind solche, die mit HTTP-Authentifizierung (Hypertext Transfer Protocol)
arbeiten. Wenn Sie die Site besuchen, öffnet der Webbrowser ein Dialogfeld, in dem Sie
Anmeldeinformationen eingeben sollen. Die Anmeldeinformationsverwaltung kann Ihren
Benutzernamen und das Kennwort nicht für Websites speichern, die für die Authentifizie-
Lektion 1: Authentifizieren von Benutzern 133

rung ein HTML-Formular (Hypertext Markup Language) verwenden (beispielsweise Sites


mit einer speziellen Anmeldeseite). Solche Sites sind viel häufiger. Die Anmeldeinforma-
tionsverwaltung kann auch .NET Passport-Anmeldeinformationen speichern.

Sie können im Fenster Anmeldeinformationsverwaltung außerdem von Hand Anmelde-


informationen sichern und wiederherstellen.

Problembehandlung für die Authentifizierung


Manchmal treten Probleme auf, wenn sich Benutzer bei Ressourcen authentifizieren wollen.
Nicht alle diese Probleme sind so trivial wie ein Tippfehler beim Kennwort oder eine unab-
sichtlich aktivierte Feststelltaste. Die folgenden Abschnitte beschreiben Problembehand-
lungstechniken, die Ihnen helfen, Authentifizierungsprobleme zu isolieren.

UAC-Kompatibilitätsprobleme
Benutzer verwechseln oft Authentifizierungs- mit Autorisierungsproblemen. Das ist kaum
überraschend, weil beide Problemarten letztlich dieselbe Fehlermeldung produzieren:
»Zugriff verweigert«. Weil die Benutzerkontensteuerung die Privilegien eines Benutzers
einschränkt und viele Anwendungen nicht so entwickelt wurden, dass sie mit der UAC
zusammenarbeiten, treten Sicherheitsfehler in Windows 7 häufiger auf als in Windows XP.
Die meisten Probleme im Zusammenhang mit der UAC betreffen die Autorisierung, nicht
die Authentifizierung. Bekommt der Benutzer überhaupt keine UAC-Eingabeaufforde-
rung angezeigt, aber eine Meldung über einen Sicherheitsfehler, handelt es sich definitiv
um ein Autorisierungsproblem. Wenn der Benutzer eine UAC-Eingabeaufforderung erhält
und seine Anmeldeinformationen akzeptiert werden (oder wenn sich der Benutzer als
Administrator anmeldet und lediglich die Schaltfläche Fortsetzen anklickt), handelt es
sich definitiv um ein Autorisierungsproblem. UAC-Probleme betreffen nur dann die
Authentifizierung, falls die UAC bei einem Benutzer Anmeldeinformationen anfordert
und das Kennwort des Benutzers als falsch zurückweist.

Anmeldeeinschränkungen
Oft treten Authentifizierungsprobleme auf, weil Administratoren Anmeldeeinschränkungen
konfiguriert haben, um die Sicherheitsanforderungen des Unternehmens durchzusetzen.
Anmeldeeinschränkungen sorgen beispielsweise dafür, dass Konten gesperrt werden, sobald
mehrmals das falsche Kennwort eingegeben wurde, dass sich Benutzer nur während be-
stimmter Zeiten anmelden dürfen, dass die Benutzer ihre Kennwörter regelmäßig ändern
müssen, dass Konten deaktiviert werden und dass Konten an einem bestimmten Tag ungültig
werden. Die folgenden Abschnitte beschreiben diese Arten von Anmeldeeinschränkungen.

Hinweis Der Anmeldekontext


Benutzer können sich bei der lokalen Benutzerdatenbank oder einer AD DS-Domäne authen-
tifizieren. Anmeldeeinschränkungen, die für die Domäne definiert sind, gelten nur für Do-
mänenkonten, und Anmeldeeinschränkungen, die für die lokale Benutzerdatenbank definiert
sind, nur für lokale Benutzerkonten. Wenn Sie daher Anmeldeeinschränkungen für Benutzer
untersuchen, müssen Sie den Anmeldekontext herausfinden.
134 Kapitel 4: Sicherheit

Das geht am schnellsten, wenn Sie eine Eingabeaufforderung öffnen und den Befehl set
ausführen, um alle Umgebungsvariablen aufzulisten. Suchen Sie in der Ausgabe nach der
Zeile für USERDOMAIN. Hat sich der Benutzer mit einem lokalen Benutzerkonto angemeldet,
steht hier der Computername (wie in der Zeile COMPUTERNAME). Hat sich der Benutzer dagegen
mit einem AD DS-Benutzerkonto angemeldet, steht hier der Name der Domäne. Sie können
auch die Zeile LOGONSERVER überprüfen, um festzustellen, ob der Benutzer von einem Domä-
nencontroller oder dem lokalen Computer authentifiziert wurde.

Kontosperrung
Tippt ein Benutzer mehrmals hintereinander falsche Anmeldeinformationen ein (weil bei-
spielsweise ein Angreifer versucht, das Kennwort eines Benutzers zu erraten oder weil sich
ein Benutzer ständig vertippt), kann Windows eine bestimmte Zeit lang jegliche Authenti-
fizierungsversuche unterbinden.
Einstellungen für die Kontosperrung werden mit Gruppenrichtlinieneinstellungen im Knoten
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\
Kontosperrungsrichtlinien definiert. Es stehen folgende Einstellmöglichkeiten zur Verfü-
gung:
„ Die Richtlinie Kontensperrungsschwelle legt fest, nach wie vielen Fehlversuchen die
Sperrung in Kraft tritt.
„ Die Richtlinie Zurücksetzungsdauer des Kontosperrungszählers bestimmt, in welchem
Zeitraum die festgelegte Zahl von Fehlversuchen auftreten muss.
„ Die Richtlinie Kontosperrdauer legt fest, wie lange das Konto gesperrt bleibt.
Ermitteln Sie mit dem Tool Richtlinienergebnissatz (Rsop.msc), welche effektiven Gruppen-
richtlinieneinstellungen für einen Computer gelten. Gehen Sie folgendermaßen vor, um das
Tool Richtlinienergebnissatz zu benutzen:
1. Geben Sie im Suchfeld des Startmenüs den Befehl rsop.msc ein und drücken Sie die
EINGABETASTE .
2. Klappen Sie im Fenster Richtlinienergebnissatz den Knoten Computerkonfiguration\
Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsricht-
linien auf.
3. Die Detailansicht gibt an, welche Kontosperrungsrichtlinien definiert sind und in wel-
chem Gruppenrichtlinienobjekt sie konfiguriert sind.
Wenn ein Benutzer eine Fehlermeldung erhält, dass sein Konto gesperrt ist, oder wenn er
sich nicht anmelden kann, obwohl er sein Kennwort richtig eingetippt hat, sollten Sie die
Identität des Benutzers überprüfen und dann sein Konto entsperren. Sie heben die Sperrung
eines Benutzerkontos auf, indem Sie das Eigenschaftendialogfeld des Kontos öffnen und das
Kontrollkästchen Konto ist gesperrt deaktivieren (bei lokalen Windows 7-Benutzerkonten)
beziehungsweise Kontosperrung aufheben (für AD DS-Konten unter Windows Server 2008
R2) aktivieren (Abbildung 4.2). Klicken Sie dann auf Übernehmen.
Welche Konten gesperrt sind, finden Sie heraus, indem Sie im Sicherheitsereignisprotokoll
des Domänencontrollers nach Fehlerüberwachungen für die Anmeldung mit der Ereignis-ID
4625 suchen.
Lektion 1: Authentifizieren von Benutzern 135

Abbildung 4.2 Windows Server 2008 R2 ändert die Beschriftung des


Kontrollkästchens Kontosperrung aufheben, wenn ein Konto gesperrt ist

Einschränkungen der Anmeldezeiten


Administratoren können auf der Registerkarte Konto eines AD DS-Benutzers auch ein-
schränken, zu welchen Zeiten sich der Benutzer anmelden darf. Das ist nützlich, wenn Ad-
ministratoren verhindern wollen, dass sich ein Benutzer außerhalb der normalen Geschäfts-
zeiten anmeldet.
Versucht ein Benutzer, sich außerhalb des erlaubten Zeitraums anzumelden, zeigt Windows 7
diese Fehlermeldung an: »Das Konto sieht es nicht vor, dass Sie sich zu dieser Zeit anmelden.
Wiederholen Sie den Vorgang später.« Dieses Problem lässt sich nur dadurch lösen, dass Sie
die Anmeldezeiten des Benutzers ändern, indem Sie im Eigenschaftendialogfeld des Benut-
zerkontos auf der Registerkarte Konto auf die Schaltfläche Anmeldezeiten klicken. Abbil-
dung 4.3 zeigt die Einstellungen für einen Benutzer, der sich Montag bis Freitag von 10 bis
18 Uhr anmelden darf.

Abbildung 4.3 Anmeldezeiten verhindern, dass sich


Benutzer außerhalb der erlaubten Zeiten anmelden
136 Kapitel 4: Sicherheit

Abgelaufene Kennwörter
Die meisten Sicherheitsexperten sind sich einig, dass Benutzer gezwungen werden sollten,
ihre Kennwörter regelmäßig zu ändern. Der Wechsel der Benutzerkennwörter verfolgt zwei
Ziele:
„ Versuchen Angreifer, ein Kennwort zu erraten, müssen sie wieder ganz von vorne
beginnen. Würden Benutzer ihre Kennwörter niemals ändern, wäre es Angreifern
irgendwann möglich, sie zu erraten.
„ Hat ein Angreifer das Kennwort eines Benutzers erraten, kann er diese Anmeldeinforma-
tionen in Zukunft nicht mehr nutzen, sobald das Kennwort geändert wurde.
Die Einstellungen für den Ablauf des Kennworts werden von Gruppenrichtlinieneinstellun-
gen im Knoten Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\
Kontorichtlinien\Kennwortrichtlinie festgelegt. Hier stehen folgende Richtlinien zur Ver-
fügung:
„ Die Richtlinie Maximales Kennwortalter bestimmt, nach welchem Zeitraum ein Kenn-
wort abläuft.
„ Die Richtlinie Kennwortchronik erzwingen legt fest, wie viele unterschiedliche Kenn-
wörter Benutzer verwenden müssen, bevor sie ein schon vorher benutztes Kennwort
erneut verwenden dürfen.
„ Die Richtlinie Minimales Kennwortalter gibt an, wie lange die Benutzer warten müssen,
bis sie ihr Kennwort erneut ändern dürfen. In Kombination mit der Richtlinie Kennwort-
chronik erzwingen wird damit verhindert, dass Benutzer ihr Kennwort gleich wieder auf
ein bereits vorher verwendetes Kennwort ändern.
Versuchen Benutzer, sich interaktiv an einem Computer anzumelden, obwohl ihr Kennwort
abgelaufen ist, fordert Windows sie automatisch auf, ihr Kennwort zu ändern. Wenn die Be-
nutzer versuchen, mit einem abgelaufenen Kennwort auf einen freigegebenen Ordner, einen
Drucker, eine Website oder eine andere Ressource zuzugreifen, wird ihnen einfach der Zu-
griff verweigert. Falls sich also ein Benutzer beschwert, dass er keine Verbindung zu einer
Ressource herstellen kann, sollten Sie sicherstellen, dass sein Kennwort nicht abgelaufen ist.
Sie können verhindern, dass die Kennwörter bestimmter Konten jemals ablaufen, indem Sie
das Kontrollkästchen Kennwort läuft nie ab auf der Registerkarte Konto im Eigenschaften-
dialogfeld des Benutzerkontos aktivieren.
Deaktiviertes Konto
Administratoren können Benutzerkonten deaktivieren, um zu verhindern, dass sich ein Be-
nutzer anmeldet. Das ist nützlich, wenn ein Benutzer im Urlaub ist und Sie wissen, dass er
sich einige Zeit nicht anmeldet, oder wenn das Konto eines Benutzers kompromittiert wurde
und die IT-Abteilung verlangt, dass der Benutzer sich bei ihr meldet, bevor er sich anmelden
darf.
Sie aktivieren das deaktivierte Konto eines Benutzers, indem Sie das Kontrollkästchen Konto
ist deaktiviert im Eigenschaftendialogfeld des Kontos deaktivieren.
Lektion 1: Authentifizieren von Benutzern 137

Abgelaufenes Konto
In AD DS-Domänen können Konten so konfiguriert werden, dass sie nach einiger Zeit ab-
laufen. Das ist nützlich, wenn bestimmte Benutzer nur begrenzte Zeit beim Unternehmen
arbeiten. Hat ein Mitarbeiter beispielsweise einen Zwei-Wochen-Vertrag, können die
Domänenadministratoren das Ablaufdatum für dieses Konto auf zwei Wochen festlegen.
Wird ein abgelaufenes Konto doch noch benötigt, können Sie das Eigenschaftendialogfeld
dieses Kontos öffnen, die Registerkarte Konto anklicken und unter Konto läuft ab ein spä-
teres Datum eintragen. Soll das Konto niemals ablaufen, können Sie die Option Nie auswäh-
len.

Behandeln von Authentifizierungsproblemen mithilfe der Überwachung


In der Standardeinstellung trägt Windows 7 kein Ereignis in das Ereignisprotokoll ein, wenn
ein Benutzer falsche Anmeldeinformationen eingibt (weil er sich zum Beispiel bei der Kenn-
worteingabe vertippt). Wenn Sie daher Authentifizierungsprobleme untersuchen, sollten Sie
erst einmal die Überwachung für Anmeldeereignisse aktivieren, damit Sie mehr Informa-
tionen über die vom Benutzer eingegebenen Anmeldeinformationen und die Ressource
sammeln können, auf die zugegriffen werden soll.
Windows 7 (wie auch ältere Windows-Versionen) stellen zwei getrennte Überwachungs-
richtlinien für die Authentifizierung zur Verfügung:
„ Anmeldeereignisse überwachen Überwacht Authentifizierungsversuche für lokale
Ressourcen, zum Beispiel eine lokale Benutzeranmeldung, das Anheben von Privilegien
über eine UAC-Eingabeaufforderung oder das Herstellen einer Verbindung über das
Netzwerk (dazu gehört die Verwendung des Remotedesktops oder das Verbinden mit
einem freigegebenen Ordner). Alle Authentifizierungsversuche werden überwacht, unab-
hängig davon, ob der Authentifizierungsversuch ein Domänenkonto oder ein lokales
Benutzerkonto benutzt.
„ Anmeldeversuche überwachen Überwacht Domänenauthentifizierungen. Unabhän-
gig davon, an welchem Computer der Benutzer sich authentifiziert, treten diese Ereig-
nisse nur auf dem Domänencontroller auf, der die Authentifizierungsanforderung ver-
arbeitet. Normalerweise brauchen Sie die Überwachung von Kontoanmeldeereignissen
nicht zu aktivieren, wenn Sie Authentifizierungsprobleme auf Windows 7-Computer
untersuchen. Eine Erfolgsüberwachung dieser Ereignisse ist auf den Domänencontrollern
standardmäßig aktiviert.
Um fehlgeschlagene Authentifizierungsversuche untersuchen zu können, müssen Sie die
entsprechende Überwachung aktivieren. Gehen Sie dazu folgendermaßen vor:
1. Klicken Sie im Startmenü auf Systemsteuerung und dann auf System und Sicherheit.
Klicken Sie auf Verwaltung und dann doppelt auf Lokale Sicherheitsrichtlinie.
2. Erweitern Sie in der Konsole Lokale Sicherheitsrichtlinie den Knoten Lokale Richtlinien
und wählen Sie Überwachungsrichtlinie aus.
3. Klicken Sie im rechten Fensterabschnitt doppelt auf Anmeldeereignisse überwachen.
4. Aktivieren Sie im Dialogfeld Eigenschaften von Anmeldeereignisse überwachen das
Kontrollkästchen Fehlgeschlagen, damit jedes Mal ein Ereignis in das Sicherheitsereig-
nisprotokoll eingetragen wird, wenn ein Benutzer ungültige Anmeldeinformationen ein-
gibt. Falls Sie auch erfolgreiche Authentifizierungsversuche protokollieren wollen (dazu
138 Kapitel 4: Sicherheit

zählen auch Authentifizierungsversuche von Diensten und anderen Entitäten, die keine
Benutzer sind), können Sie auch das Kontrollkästchen Erfolgreich aktivieren.
5. Klicken Sie auf OK.
6. Starten Sie Ihren Computer neu, damit die Änderungen wirksam werden.
Wenn die Überwachung aktiviert ist, können Sie sich die Ereignisse folgendermaßen in der
Ereignisanzeige ansehen:
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den
Befehl Verwalten.
2. Erweitern Sie System, Ereignisanzeige, Windows-Protokolle und wählen Sie den Knoten
Sicherheit aus.
Die Ereignisanzeige listet nun alle Sicherheitsereignisse auf. Sie können sich ausschließ-
lich erfolgreiche Anmeldungen anzeigen lassen, indem Sie im Fensterabschnitt Aktionen
auf den Link Aktuelles Protokoll filtern klicken und nur die Ereignis-ID 4624 auswählen.
Wenn Sie ausschließlich fehlgeschlagene Anmeldeversuche sehen wollen, können Sie
den Link Aktuelles Protokoll filtern anklicken und die Ereignis-ID 4625 auswählen.

Abbildung 4.4 Ein Überwachungsereignis zu einer fehlgeschlagenen


Anmeldung, bei der ungültige Anmeldeinformationen eingegeben wurden

Abbildung 4.4 zeigt ein Beispiel für eine fehlgeschlagene Anmeldung, die aufgetreten ist, als
der Benutzer ungültige Anmeldeinformationen an einer UAC-Eingabeaufforderung eingege-
Lektion 1: Authentifizieren von Benutzern 139

ben hat. Beachten Sie, dass der Aufrufprozessname (im Abschnitt »Prozessinformationen«)
Consent.exe lautet; dies ist der UAC-Prozess.
Überwachungsereignisse von fehlgeschlagenen Authentifizierungsversuchen über das Netz-
werk sehen ähnlich aus wie im folgenden Beispiel. Insbesondere Kontoname, Kontodomäne,
Arbeitsstationsname und Quellnetzwerkadresse sind nützlich, um den betroffenen Computer
zu identifizieren.
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: Keine SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: Keine SID
Kontoname: baduser
Kontodomäne: NWTRADERS
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Unterstatus: 0xc0000064
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: CONTOSO-DC
Quellnetzwerkadresse: 192.168.1.212
Quellport: 4953
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Wenn Sie sich bei Netzwerkressourcen authentifizieren, werden Authentifizierungsfehler
immer auf dem Server protokolliert, nicht auf dem Client. Wenn Sie beispielsweise ver-
suchen, die Verbindung zu einem freigegebenen Ordner herzustellen, und dabei das Kenn-
wort falsch eintippen, taucht das Ereignis nicht in Ihrem lokalen Ereignisprotokoll auf,
sondern im Ereignisprotokoll des Computers, der den Ordner freigibt.

Hinweis Trauen Sie nicht dem angegebenen Computernamen


Der Computer, der den Authentifizierungsversuch sendet, meldet seinen eigenen Arbeits-
stationsnamen. Handelt es sich um einen böswilligen Angriff, wurde der Arbeitsstationsname
unter Umständen absichtlich manipuliert. Die IP-Adresse dürfte aber immer richtig sein.
140 Kapitel 4: Sicherheit

Schnelltest
1. Welchen Überwachungstyp sollten Sie aktivieren, um lokale Anmeldeereignisse zu
überwachen?
2. Welches Ereignisprotokoll werten Sie aus, um Überwachungsereignisse zu finden?
Antworten zum Schnelltest
1. Anmeldeereignisse überwachen
2. Sicherheit

Problembehandlung für die Netzwerkauthentifizierung


Um die Netzwerksicherheit zu verbessern, fordern Netzwerkadministratoren oft eine 802.1X-
Authentifizierung, bevor Clientcomputer eine Verbindung zu Drahtlos- oder Kabelnetzwer-
ken herstellen dürfen. Die 802.1X-Authentifizierung arbeitet auf der Netzwerkinfrastruktur-
schicht. Nur Computer, die sich authentifizieren können, erhalten vollständigen Netzwerk-
zugriff. Zum Beispiel muss auf den meisten Drahtlosnetzwerkclientcomputern ein Netzwerk-
sicherheitsschlüssel oder ein Zertifikat konfiguriert sein, damit sie auf den Drahtloszugriffs-
punkt zugreifen können. In Kabelnetzwerken erlaubt ein Switch, der 802.1X unterstützt,
einem neu angeschlossenen Computer, lediglich auf eine beschränkte Zahl von Servern
zuzugreifen, bis der Computer authentifiziert ist.
Netzwerkauthentifizierung kann ein Problem sein, wenn Gruppenrichtlinieneinstellungen
eingesetzt werden, um die Zertifikate zu verteilen, die für die Netzwerkauthentifizierung
benötigt werden. Die Clientcomputer müssen nämlich erst eine Verbindung zum Netzwerk
herstellen, um das Zertifikat abzurufen. Sie können dieses Problem bei 802.1X-geschützten
Drahtlosnetzwerken umgehen, indem Sie die Clientcomputer erst einmal an ein Kabelnetz-
werk anschließen, bis sie ihre Gruppenrichtlinieneinstellungen aktualisiert haben.
Wenn Ihre Organisation eine Authentifizierung für Kabelnetzwerke fordert (dies wird selte-
ner der Fall sein als bei Drahtlosnetzwerken), sollten Sie gemeinsam mit den Domänen-
administratoren ein Verfahren entwickeln, wie eine temporäre Verbindung zum Netzwerk
hergestellt werden kann, falls die 802.1X-Authentifizierung fehlschlägt. Dazu kann beispiels-
weise der Computer über ein virtuelles privates Netzwerk (VPN) angeschlossen werden, das
Clientzertifikat kann von Hand auf den Clientcomputer importiert werden oder für die Netz-
werkauthentifizierung kann eine Smartcard benutzt werden.

Problembehandlung für eine nichtvertrauenswürdige Zertifizierungsstelle


Zertifikate, wie sie zum Beispiel von einer Unternehmenszertifizierungsstelle (Certificate
Authority, CA) ausgestellt werden, werden oft für die Authentifizierung eingesetzt. Win-
dows 7 kann Zertifikate lokal speichern, um einen Benutzer oder den Computer selbst zu
authentifizieren, und Benutzer können Zertifikate auf einer Smartcard speichern. Im Nor-
malfall sollten Domänenadministratoren Zertifikate verwalten, und Einstellungen sollten
mithilfe von Gruppenrichtlinieneinstellungen an die Clientcomputer übertragen werden.
Erhalten Sie allerdings eine Fehlermeldung, dass ein Zertifikat von einer nichtvertrauens-
würdigen Zertifizierungsstelle ausgestellt wurde, können Sie sich die vorhandenen Zertifi-
zierungsstellen anzeigen lassen und das Zertifikat der Zertifizierungsstelle dann importieren,
Lektion 1: Authentifizieren von Benutzern 141

damit Windows 7 allen Zertifikaten vertraut, die von dieser Zertifizierungsstelle ausgestellt
werden.
Gehen Sie folgendermaßen vor, um die vertrauenswürdigen Zertifizierungsstellen anzuzei-
gen:
1. Geben Sie im Suchfeld des Startmenüs den Befehl mmc ein und drücken Sie die
EINGABETASTE , um ein leeres MMC-Fenster (Microsoft Management Console) zu
öffnen. Bestätigen Sie die UAC-Eingabeaufforderung, die daraufhin angezeigt wird.
2. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen.
3. Wählen Sie Zertifikate aus und klicken Sie auf Hinzufügen.
4. Wählen Sie die Option Eigenes Benutzerkonto aus, falls ein entsprechendes Dialogfeld
angezeigt wird, und klicken Sie dann auf Fertig stellen.
5. Klicken Sie auf OK, um das Dialogfeld Snap-Ins hinzufügen bzw. entfernen zu schließen.
6. Erweitern Sie den Knoten Zertifikate – Aktueller Benutzer, dann Vertrauenswürdige
Stammzertifizierungsstellen und wählen Sie Zertifikate aus.
Der mittlere Fensterabschnitt zeigt eine Liste der vertrauenswürdigen Zertifizierungs-
stellen an. In der Standardeinstellung finden Sie hier über 10 vordefinierte öffentliche
Zertifizierungsstellen. Zusätzlich sollten hier alle internen Zertifizierungsstellen Ihrer
Organisation enthalten sein. Falls Ihre Organisation eine Unternehmenszertifizierungs-
stelle hat, die nicht in dieser Liste aufgeführt ist, sollten Sie sich an einen Domänen-
administrator wenden, weil die vertrauenswürdigen Zertifizierungsstellen mithilfe von
Gruppenrichtlinien konfiguriert werden sollten.
Stattdessen können Sie eine Zertifizierungsstelle auch von Hand als vertrauenswürdig ein-
stufen. Gehen Sie dazu im Snap-In Zertifikate folgendermaßen vor:
1. Klicken Sie unter Vertrauenswürdige Stammzertifizierungsstellen mit der rechten Maus-
taste auf Zertifikate, klicken Sie auf Alle Aufgaben und dann auf Importieren.
Der Zertifikatimport-Assistent wird geöffnet.
2. Klicken Sie auf der Seite Willkommen des Zertifikatimport-Assistenten auf Weiter.
3. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen. Wählen Sie das
Zertifikat Ihrer Zertifizierungsstelle aus (es kann vom Administrator der Zertifizierungs-
stelle bereitgestellt oder von einem Computer exportiert werden, der dieser Zertifizie-
rungsstelle vertraut) und klicken Sie auf Weiter.
4. Übernehmen Sie auf der Seite Zertifikatspeicher die Standardoption für den Zertifikats-
peicher (»Vertrauenswürdige Stammzertifizierungsstellen«) und klicken Sie auf Weiter.
5. Klicken Sie auf der Seite Fertigstellen des Assistenten des Zertifikatimport-Assistenten
auf Fertig stellen.
6. Klicken Sie in der Sicherheitswarnung auf Ja, sofern eine solche Meldung angezeigt
wird.
7. Klicken Sie in der Bestätigung, dass der Import erfolgreich war, auf OK.
Ihr Benutzerkonto vertraut jetzt allen Zertifikaten, die von dieser Zertifizierungsstelle
ausgestellt wurden.
142 Kapitel 4: Sicherheit

Problembehandlung für nichtvertrauenswürdige Computerkonten


Computer haben Konten in AD DS-Domänen, genauso wie Benutzer. Computerkonten be-
nötigen normalerweise keine Wartung, weil Windows und der Domänencontroller auto-
matisch ein Kennwort generieren und den Computer beim Start authentifizieren.
Computerkonten können allerdings nichtvertrauenswürdig werden. Das bedeutet, dass die
Sicherheits-ID (Security ID, SID) oder das Kennwort des Computers sich von dem Wert
unterscheiden, der in AD DS gespeichert ist. Das passiert in folgenden Fällen:
„ Mehrere Computer haben dieselbe SID. Das kann vorkommen, wenn ein Computer
dadurch bereitgestellt wird, dass ein Festplattenabbild kopiert wird, ohne dass die SID
mit dem Bereitstellungstool Sysprep zurückgesetzt wurde.
„ Das Computerkonto in AD DS ist beschädigt.
Anders als bei einem Benutzerkonto können Sie das Kennwort eines Computerkontos nicht
zurücksetzen. Wird ein Computerkonto daher nichtvertrauenswürdig, beseitigen Sie das
Problem am einfachsten, indem Sie den Computer erneut zur Domäne hinzufügen. Gehen
Sie dazu folgendermaßen vor:
1. Klicken Sie im Startmenü des nichtvertrauenswürdigen Computers mit der rechten
Maustaste auf Computer und wählen Sie den Befehl Eigenschaften. Das Fenster System
wird geöffnet.
2. Klicken Sie im Abschnitt Einstellungen für Computernamen, Domäne und Arbeits-
gruppe auf Einstellungen ändern. Das Dialogfeld Systemeigenschaften wird geöffnet.
3. Klicken Sie auf Ändern. Das Dialogfeld Ändern des Computernamens bzw. der Domäne
wird geöffnet.
4. Wählen Sie die Option Arbeitsgruppe aus und klicken Sie auf OK. Damit wird der Com-
puter aus der Domäne entfernt. Starten Sie den Computer neu, wenn Sie dazu aufgefor-
dert werden.
5. Öffnen Sie auf einem Domänencontroller die Konsole Active Directory-Benutzer und
-Computer, klicken Sie mit der rechten Maustaste auf das Computerkonto und wählen
Sie den Befehl Konto zurücksetzen.
6. Wiederholen Sie auf dem nichtvertrauenswürdigen Computer die Schritte 2 bis 4, um
das Dialogfeld Ändern des Computernamens bzw. der Domäne zu öffnen. Wählen Sie
die Option Domäne aus und tragen Sie den Namen Ihrer Domäne ein. Geben Sie die
Anmeldeinformationen eines Domänenadministrators ein, um den Computer zur Domäne
hinzuzufügen. Starten Sie den Computer neu, wenn Sie dazu aufgefordert werden.
Stattdessen können Sie das Kennwort eines Computerkontos auch auf einem Computer, der
unter Windows Server 2008 R2 läuft, mit dem Befehlszeilentool Netdom zurücksetzen. Bei
älteren Windows Server-Versionen war Netdom im Ordner Support\Tools auf der Windows-
DVD enthalten. Weitere Informationen über Netdom erhalten Sie, indem Sie in einer Ein-
gabeaufforderung den Befehl netdom /? ausführen. In Windows 7 ist Netdom allerdings
nicht enthalten.
Lektion 1: Authentifizieren von Benutzern 143

Übung Anmeldeinformationen für die künftige Verwendung speichern


In dieser Übung speichern Sie mithilfe der Anmeldeinformationsverwaltung Ihre Anmelde-
informationen, sodass Sie sich automatisch bei einem Remotecomputer authentifizieren
können.

Übung Verwenden der Anmeldeinformationsverwaltung


In dieser Übung speichern Sie mit der Anmeldeinformationsverwaltung Ihre Anmeldeinfor-
mationen für die künftige Verwendung.
1. Melden Sie sich an einem Windows 7-Computer an. Erstellen Sie ein neues Benutzer-
konto mit dem Benutzernamen MyLocalUser und weisen Sie ihm ein Kennwort zu. Die-
ses Konto gibt es nicht auf irgendwelchen Netzwerkcomputern. Wenn dieser Benutzer
eine Verbindung zu einem Remotecomputer herstellen will, muss er daher immer alter-
native Anmeldeinformationen eingeben.
2. Legen Sie auf einem Remotecomputer einen freigegebenen Ordner an. Merken Sie sich
die Namen des Servers und der Freigabe.
3. Melden Sie sich als MyLocalUser an.
4. Klicken Sie im Startmenü auf Computer. Klicken Sie auf Netzlaufwerk zuordnen.
5. Geben Sie im Dialogfeld Netzlaufwerk verbinden den Namen \\<Server>\<Freigabe>
ein, um zu versuchen, eine Verbindung zu der in Schritt 2 angelegten Freigabe herzustel-
len. Klicken Sie auf Fertig stellen.
6. Klicken Sie zweimal auf Abbrechen, wenn das Dialogfeld Verbinden mit Server ange-
zeigt wird.
Dieses Dialogfeld wurde angezeigt, weil Ihr aktuelles Konto auf dem Remoteserver keine
Privilegien hat und Sie keine Anmeldeinformationen in der Anmeldeinformationsverwal-
tung eingetragen haben.

Hinweis Anmeldeinformationen für diese Übung von Hand konfigurieren


Für diese Übung sollten Sie die Anmeldeinformationen von Hand in der Anmeldeinfor-
mationsverwaltung konfigurieren. Viel einfacher erreichen Sie aber dasselbe Ergebnis,
wenn Sie die Daten in die Felder Benutzername und Kennwort eingeben und das Kon-
trollkästchen Kennwort speichern aktivieren. Daraufhin speichert der Windows-Explorer
die Anmeldeinformationen automatisch ab.

7. Klicken Sie im Startmenü auf Systemsteuerung.


8. Klicken Sie zweimal auf den Link Benutzerkonten.
9. Klicken Sie im linken Fensterabschnitt auf den Link Eigene Anmeldeinformationen
verwalten.
Das Fenster Anmeldeinformationsverwaltung wird geöffnet.
10. Klicken Sie auf Windows-Anmeldeinformationen hinzufügen.
11. Geben Sie im Feld Internet- oder Netzwerkadresse den Namen des Servers ein, zu dem
Sie in Schritt 5 eine Verbindung herstellen wollten.
144 Kapitel 4: Sicherheit

12. Geben Sie in den Feldern Benutzername und Kennwort Ihre administrativen Anmelde-
informationen für den Remoteserver ein.
13. Klicken Sie auf OK.
14. Klicken Sie im Startmenü auf Computer und dann auf Netzlaufwerk zuordnen.
15. Geben Sie im Dialogfeld Netzlaufwerk verbinden den Namen \\<Server>\<Freigabe>
ein, um erneut zu versuchen, wie in Schritt 5 eine Verbindung zu der Freigabe herzu-
stellen. Deaktivieren Sie das Kontrollkästchen Verbindung bei Anmeldung wiederher-
stellen und klicken Sie auf Fertig stellen.
Der Windows-Explorer stellt automatisch die Verbindung zum freigegebenen Ordner
her, ohne dass Sie Anmeldeinformationen eingeben müssen. Benutzername und Kenn-
wort werden diesmal aus der Anmeldeinformationsverwaltung abgerufen.

Zusammenfassung der Lektion


„ Die Authentifizierung ist der Prozess, bei dem ein Benutzer identifiziert und die Identität
des Benutzers bewiesen wird.
„ Die Anmeldeinformationsverwaltung speichert die Anmeldeinformationen eines Benut-
zers, sodass bei künftigen Versuchen, auf eine Ressource zuzugreifen, eine automatische
Authentifizierung vorgenommen werden kann. Sie können Anmeldeinformationen von
Hand eintragen, indem Sie das Tool Gespeicherte Benutzernamen und Kennwörter der
Systemsteuerung öffnen.
„ Wenn Sie eine Problembehandlung für die Benutzerauthentifizierung durchführen, soll-
ten Sie die Überwachung fehlgeschlagener Anmeldungen aktivieren, das Authentifizie-
rungsproblem reproduzieren und dann im Sicherheitsereignisprotokoll nach Details zum
Authentifizierungsfehler suchen. Wenn Sie Netzwerkauthentifizierungsprobleme unter-
suchen, sollten Sie sicherstellen, dass die Gruppenrichtlinieneinstellungen aktualisiert
wurden, und mit den Netzwerkadministratoren zusammenarbeiten, um das Problem zu
beseitigen. Ein Problem mit einer nichtvertrauenswürdigen Zertifizierungsstelle können
Sie beseitigen, indem Sie das Zertifikat dieser Zertifizierungsstelle in die Liste der ver-
trauenswürdigen Stammzertifizierungsstellen importieren.

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1,
»Authentifizieren von Benutzern«, überprüfen. Die Fragen finden Sie (in englischer Sprache)
auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen eines
Übungstests beantworten.

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Bei welchen der folgenden Operationen wird die automatische Authentifizierung mit-
hilfe der Anmeldeinformationsverwaltung unterstützt? (Wählen Sie alle zutreffenden
Antworten aus.)
Lektion 1: Authentifizieren von Benutzern 145

A. Herstellen der Verbindung zu einem freigegebenen Ordner


B. Herstellen der Verbindung zu einem freigegebenen Drucker
C. Authentifizieren bei einer Website, die ein HTML-Formular verwendet
D. Authentifizieren bei einer Website, die ein Dialogfeld öffnet, in das der Benutzer
seine Anmeldeinformationen eingeben muss
2. Welche der folgenden Überwachungsarten sollten Sie aktivieren, um zu verfolgen, wenn
ein Benutzer seinen Benutzernamen oder das Kennwort falsch eintippt, während er sich
an einem Windows 7-Domänenmitgliedscomputer unter einem lokalen Benutzerkonto
anmeldet?
A. Anmeldeereignisse überwachen, Erfolgreich
B. Anmeldeereignisse überwachen, Fehlgeschlagen
C. Anmeldeversuche überwachen, Erfolgreich
D. Anmeldeversuche überwachen, Fehlgeschlagen
3. Welche der folgenden Ereignisse werden im lokalen Ereignisprotokoll aufgezeichnet,
wenn Sie die Überwachung für erfolgreiche und fehlgeschlagene Anmeldeversuche akti-
viert haben? (Wählen Sie alle zutreffenden Antworten aus.)
A. Lokale Anmeldung an einem Windows 7-Computer
B. Eingabe von Benutzername und Kennwort auf einer Remotewebsite
C. Herstellen der Verbindung zu einem freigegebenen Ordner auf einem Remotecom-
puter
D. Anheben der Privilegien in einer Eingabeaufforderung der Benutzerkontensteuerung
146 Kapitel 4: Sicherheit

Lektion 2: Konfigurieren und Problembehandlung der Internet


Explorer-Sicherheit
In den letzten Jahren wurden immer mehr erfolgreiche Angriffe dadurch ausgelöst, dass ein
Benutzer eine Website besucht. So können Websites einen Benutzer beispielsweise durch
einen Trick dazu bringen, vertrauliche Daten einzugeben. Oder sie nutzen eine Sicherheits-
lücke im Browser aus, um Code auszuführen, ohne dass der Benutzer dies explizit geneh-
migt.
In Windows 7 ist der Windows Internet Explorer 8.0 standardmäßig so konfiguriert, dass
derartige Gefahren so gering wie möglich gehalten werden. Daher laufen in der Standardein-
stellung viele Add-Ons nicht und der Internet Explorer wird mit minimalen Privilegien aus-
geführt. Als Administrator müssen Sie diese Einschränkungen kennen und wissen, wie Sie
sie umgehen, damit auch Webanwendungen einwandfrei laufen, die solche eingeschränkten
Features benötigen. Außerdem müssen Sie wissen, wie Sie häufige Probleme beim Websur-
fen beseitigen, beispielsweise durch Verwendung von Zertifikaten und die Analyse von
Gruppenrichtlinieneinschränkungen.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Konfigurieren von Add-Ons im Internet Explorer (auch ActiveX-Steuerelemente) und
Durchführen einer Problembehandlung für Add-Ons
„ Hinzufügen von Sites zur Liste Vertrauenswürdige Sites
„ Beschreiben und Konfigurieren des geschützten Modus
„ Beseitigen von Problemen im Zusammenhang mit SSL-Zertifikaten (Secure Sockets
Layer)
„ Erkennen von Einschränkungen aufgrund von Gruppenrichtlinien
Veranschlagte Zeit für diese Lektion: 40 Minuten

Internet Explorer-Add-Ons
Add-Ons erweitern die Fähigkeiten des Internet Explorers, sodass Websites viel umfang-
reichere und interaktivere Inhalte bereitstellen können. Zum Beispiel sind folgende Add-Ons
weit verbreitet:
„ Shockwave Flash Ein Add-On, das komplexe Animationen, Spiele und andere inter-
aktive Fähigkeiten ermöglicht
„ Windows Media Player Ein Add-On, mit dem Webseiten Audio und Video integrieren
können
„ Microsoft Virtual Server VMRC Control Ein Add-On, mit dem Benutzer über das
Netzwerk einen virtuellen Computer aus dem Internet Explorer steuern können
Die folgenden Abschnitte beschreiben, wie Sie Add-Ons konfigurieren und Probleme im
Zusammenhang mit Add-Ons beseitigen.
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 147

Aktivieren und Deaktivieren von Add-Ons


Wenn Sie den Internet Explorer gestartet haben, können Sie Add-Ons folgendermaßen deak-
tivieren oder entfernen:
1. Klicken Sie in der Symbolleiste auf die Schaltfläche Extras und dann auf Add-Ons
verwalten.
Das Dialogfeld Add-Ons verwalten wird geöffnet (Abbildung 4.5).

Abbildung 4.5 Das Dialogfeld Add-Ons verwalten

2. Wählen Sie im Dialogfeld Add-Ons verwalten ein Add-On aus und klicken Sie auf die
Option Deaktivieren, um zu verhindern, dass das Add-On automatisch geladen wird.
Wenn es sich beim Add-On um ein ActiveX-Steuerelement handelt, können Sie auch auf
Löschen klicken, um es dauerhaft zu entfernen.
Wenn ein Add-On ernste Probleme verursacht und der Internet Explorer gar nicht mehr startet,
können Sie das Add-On auch deaktivieren, ohne den Internet Explorer zu öffnen. Gehen Sie
dazu folgendermaßen vor:
1. Klicken Sie im Startmenü auf Systemsteuerung.
2. Klicken Sie auf Netzwerk und Internet.
3. Klicken Sie unter Internetoptionen auf den Link Browser-Add-Ons verwalten.
Das Dialogfeld Eigenschaften von Internet wird geöffnet.
4. Klicken Sie auf Add-Ons verwalten.
5. Wählen Sie im Dialogfeld Add-Ons verwalten ein Add-On aus. Klicken Sie auf Deakti-
vieren und dann auf OK, um zu verhindern, dass dieses Add-On automatisch geladen
wird.
148 Kapitel 4: Sicherheit

Den Internet Explorer ohne Add-Ons starten


Ein fehlerhaftes oder böswilliges Add-On kann Probleme beim Start des Internet Explorers
verursachen. Sie können dieses Problem umgehen, indem Sie den Internet Explorer folgen-
dermaßen ohne Add-Ons starten:
1. Klicken Sie im Startmenü auf Alle Programme, Zubehör und Systemprogramme.
2. Klicken Sie auf Internet Explorer (ohne Add-Ons).
Der Internet Explorer wird so gestartet, dass alle Add-Ons deaktiviert sind. Falls eine
Webseite ein neues Fenster öffnet, wenn Sie auf einen Link klicken, sind auch in diesem
neuen Fenster die Add-Ons deaktiviert. Add-Ons werden automatisch aktiviert, wenn Sie
den Internet Explorer das nächste Mal über die normale Verknüpfung starten.
Stattdessen können Sie den Internet Explorer auch von Hand mit dem Argument -extoff
starten. Geben Sie dazu im Suchfeld des Startmenüs iexplore -extoff ein und drücken Sie
die EINGABETASTE .

Konfigurieren von Add-Ons in AD DS-Domänenumgebungen


Wie bei älteren Versionen des Internet Explorers können Sie mit den Gruppenrichtlinienein-
stellungen in Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Kompo-
nenten\Internet Explorer\Sicherheitsfunktionen\Add-On-Verwaltung bestimmte Add-Ons in
Ihrer gesamten Organisation aktivieren oder deaktivieren. Üblicherweise verwenden Sie in
diesem Knoten zwei Einstellungen, um alle unerwünschten Add-Ons in Ihrer Organisation
zu blockieren:
„ Add-On-Liste Aktivieren Sie diese Einstellung und geben Sie dann die erlaubten Add-
Ons für Ihre Organisation an. Sie können ein Add-On identifizieren, indem Sie seine CLS-
ID (Class Identifier) in der Add-On-Liste als Namen eintragen. Die CLSID muss in ge-
schweiften Klammern stehen, zum Beispiel »{BDB57FF2-79B9-4205-9444-F5FE85F3
7312}«. Sie finden die CLSID eines Add-Ons, indem Sie das <object>-Tag im HTML-
Code einer Webseite auslesen, die auf das Add-On verweist. Wenn Sie das Add-On ver-
bieten wollen, müssen Sie als Wert 0 eintragen. Soll das Add-On erlaubt sein, tragen Sie
den Wert 1 ein. Wenn Sie das Add-On zulassen und den Benutzern erlauben wollen, es
zu verwalten, können Sie den Wert 2 eintragen.
„ Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt
sind Wenn Sie in der Einstellung Add-On-Liste alle Add-Ons eingetragen haben, die
Sie erlauben wollen, können Sie diese Richtlinie aktivieren, um automatisch alle anderen
Add-Ons zu blockieren. Sie können diese beiden Einstellungen kombinieren, um alle
ungenehmigten Add-Ons zu blockieren.
Zwei weitere Gruppenrichtlinieneinstellungen, die mit der Add-On-Verwaltung zu tun haben,
sind sowohl unter Benutzerkonfiguration als auch Computerkonfiguration im Knoten Ad-
ministrative Vorlagen\Windows-Komponenten\Internet Explorer verfügbar. Die Einstellun-
gen zum Verwalten von Add-Ons sind:
„ Systemabsturzermittlung deaktivieren In der Standardeinstellung erkennt der Inter-
net Explorer ein Add-On, das abstürzt, und deaktiviert es, wenn Sie den Internet Explorer
das nächste Mal starten. Falls Sie ein problematisches Add-On haben, das für eine wich-
tige Webanwendung gebraucht wird, können Sie diese Richtlinie aktivieren und auf diese
Weise sicherstellen, dass sogar ein fehlerhaftes Add-On weiterhin ausgeführt wird.
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 149

„ Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen In der
Standardeinstellung können Benutzer das Dialogfeld Add-Ons verwalten öffnen und
darin Add-Ons aktivieren oder deaktivieren. Wenn Sie diese Richtlinie aktivieren, können
die Benutzer keine Add-Ons mehr konfigurieren.

Konfigurieren von ActiveX-Add-Ons


ActiveX ist eine Technologie, die es ermöglicht, leistungsfähige Anwendungen mit komfor-
tabler Benutzeroberfläche innerhalb eines Webbrowsers auszuführen. Aus diesem Grund
haben viele Organisationen ActiveX-Komponenten als Teil einer Webanwendung entwickelt.
Aus demselben Grund haben aber auch viele Angreifer ActiveX-Komponenten erstellt, um
die Fähigkeiten der Plattform zu missbrauchen. Einige Beispiele für ActiveX-Steuerelemente:
„ Eine Komponente, mit der Sie virtuelle Computer über eine Microsoft Virtual Server-
Webseite verwalten
„ Eine Microsoft Update-Komponente, die untersucht, ob Updates auf Ihrem Computer
fehlen
„ Shockwave Flash, mit dem viele Websites komplexe Animationen und Spiele bereitstel-
len
„ Eine Komponente, die versucht, Malware zu installieren oder Einstellungen ohne Wissen
des Benutzers zu ändern
Ältere Versionen des Internet Explorers installierten ActiveX-Steuerelemente, ohne beim
Benutzer nachzufragen. Das machte Websites, die mit ActiveX-Steuerelementen arbeiten,
sehr benutzerfreundlich, weil der Benutzer die Features des Steuerelements nutzen konnte,
ohne seine Installation manuell genehmigen zu müssen. Allerdings missbrauchten Malware-
Entwickler bald diese Fähigkeit und erstellten böswillige ActiveX-Steuerelemente, die Soft-
ware auf dem Computer des Benutzers installieren oder Einstellungen ändern, zum Beispiel
die Startseite des Benutzers.
Damit Sie einerseits wichtige ActiveX-Steuerelemente benutzen können, aber andererseits
potenziell gefährliche ActiveX-Steuerelemente blockiert werden, hat Microsoft leistungs-
fähige ActiveX-Verwaltungsfähigkeiten in den Internet Explorer eingebaut. Die folgenden
Abschnitte beschreiben, wie Sie ActiveX auf einem einzelnen Computer und innerhalb eines
großen Unternehmens konfigurieren.
Konfigurieren des ActiveX-Opt-In
Im Internet Explorer 8 werden ActiveX-Steuerelemente in der Standardeinstellung nicht
automatisch installiert. Wenn ein Benutzer eine Webseite besucht, die ein ActiveX-Steuer-
element enthält, bekommt er eine Informationsleiste angezeigt, die ihn informiert, dass ein
ActiveX-Steuerelement erforderlich ist. Der Benutzer muss dann auf diese Informations-
leiste klicken und den Befehl ActiveX-Steuerelement installieren wählen. Falls der Benutzer
nichts tut, installiert der Internet Explorer das ActiveX-Steuerelement nicht. Abbildung 4.6
zeigt die Genuine Microsoft Software-Webseite, auf der Benutzer ein ActiveX-Steuerelement
installieren müssen, damit ihr Windows-Exemplar als Original bestätigt werden kann.
Wenn der Benutzer auf ActiveX-Steuerelement installieren klickt, muss er in einer Eingabe-
aufforderung der Benutzerkontensteuerung administrative Anmeldeinformationen eingeben.
Anschließend erhält der Benutzer eine zweite Sicherheitswarnung vom Internet Explorer.
150 Kapitel 4: Sicherheit

Sofern der Benutzer diese Sicherheitswarnung bestätigt, installiert der Internet Explorer das
ActiveX-Steuerelement und führt es aus.

Abbildung 4.6 Die Genuine Microsoft Software-Seite

Das ActiveX-Opt-In ist in der Standardeinstellung für die Zonen Internet und Eingeschränkte
Sites aktiviert, aber für die Zonen Lokales Intranet und Vertrauenswürdige Sites deaktiviert.
Daher sollten alle Websites in Ihrem lokalen Intranet in der Lage sein, ActiveX-Steuerele-
mente zu installieren, ohne dass der Benutzer dies genehmigen muss. Sie können die Stan-
dardeinstellung für eine Zone folgendermaßen ändern:
1. Öffnen Sie den Internet Explorer. Klicken Sie in der Symbolleiste auf die Schaltfläche
Extras und dann auf Internetoptionen.
2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit. Wählen Sie
die Zone aus, die Sie bearbeiten wollen, und klicken Sie auf die Schaltfläche Stufe an-
passen.
3. Blättern Sie in der Liste Einstellungen nach unten. Ändern Sie unter ActiveX-Steuerele-
mente und Plugins die Einstellung für den Eintrag Ausführung von bisher nicht verwen-
deten ActiveX-Steuerelementen ohne Eingabeaufforderung zulassen. Wenn hier Deakti-
vieren ausgewählt ist, ist das ActiveX-Opt-In aktiviert. Klicken Sie zweimal auf OK.

Prüfungstipp
Die Bezeichnung »ActiveX-Opt-In« kann verwirrend sein. Wenn Sie das ActiveX-Opt-
In aktivieren, sorgen Sie dafür, dass der Internet Explorer ActiveX-Steuerelemente nicht
automatisch installiert. Stattdessen muss der Benutzer explizit bestätigen, dass er das
Add-On laden will.

Das ActiveX-Opt-In gilt für die meisten ActiveX-Steuerelemente. Ausgenommen davon sind
die ActiveX-Steuerelemente, die in der Liste der automatisch genehmigten Steuerelemente
stehen. Diese Liste wird in der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Ext\PreApproved verwaltet. In diesem Schlüssel gibt es
mehrere Unterschlüssel, jeweils mit der CLSID eines genehmigten ActiveX-Steuerelements.
Sie finden die CLSID eines ActiveX-Steuerelements heraus, indem Sie den Quellcode einer
Webseite anzeigen und nach dem <object>-Tag suchen. Suchen Sie im Quellcode einer Web-
seite nach dem Begriff »<object«.
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 151

Konfigurieren von ActiveX auf einem einzelnen Computer


Der vorherige Abschnitt hat beschrieben, wie Sie ActiveX-Opt-In auf einem einzelnen Com-
puter konfigurieren. Neben dieser Einstellung können Sie im Dialogfeld Sicherheitseinstel-
lungen mehrere andere zonenspezifische Einstellungen im Zusammenhang mit ActiveX
konfigurieren:
„ Automatische Eingabeaufforderung für ActiveX-Steuerelemente Diese Einstellung
ist in der Standardeinstellung für alle Zonen deaktiviert. Wenn Sie diese Einstellung ak-
tivieren, wird nicht die Informationsleiste geöffnet, sondern der Benutzer erhält eine
direkte Meldung mit der Frage, ob er das ActiveX-Steuerelement installieren möchte.
„ Signierte ActiveX-Steuerelemente herunterladen Der Entwickler kann ActiveX-
Steuerelemente signieren. Normalerweise sind signierte ActiveX-Steuerelemente ver-
trauenswürdiger als unsignierte, aber Sie sollten signierten ActiveX-Steuerelementen
nicht bedingungslos vertrauen. In der Standardeinstellung muss der Benutzer diesen
Vorgang bestätigen. Sie können die Zahl der angezeigten Nachfragen verringern, indem
Sie die Option Aktivieren einstellen.
„ Unsignierte ActiveX-Steuerelemente herunterladen In der Standardeinstellung sind
unsignierte ActiveX-Steuerelemente deaktiviert. Wenn Sie ein unsigniertes ActiveX-
Steuerelement verteilen müssen, sollten Sie die Site, die das Steuerelement benötigt, zur
Liste Vertrauenswürdige Sites hinzufügen und diese Einstellung für die Zone Vertrauens-
würdige Sites auf Bestätigen ändern.
„ ActiveX-Steuerelemente initialisieren und ausführen, die nicht als "sicher für
Skripting" markiert sind Diese Einstellung ist in der Standardeinstellung für alle
Zonen deaktiviert. Sie sollten sie nur aktivieren, falls ein Problem mit einem bestimmten
ActiveX-Steuerelement auftritt und der Entwickler Sie informiert, dass diese Einstellung
erforderlich ist. In diesem Fall sollten Sie die Site zur Liste Vertrauenswürdige Sites
hinzufügen und die Einstellung ausschließlich für diese Zone aktivieren.
„ ActiveX-Steuerelemente und Plugins ausführen Diese Einstellung steuert, ob
ActiveX-Steuerelemente ausgeführt werden, unabhängig davon, wie andere Einstellun-
gen definiert sind. Anders ausgedrückt: Wenn diese Einstellung deaktiviert ist, können
die Benutzer keine ActiveX-Steuerelemente ausführen, nicht einmal über das ActiveX-
Opt-In. Diese Einstellung ist für alle Zonen außer Eingeschränkte Sites aktiviert.
„ ActiveX-Steuerelemente ausführen, die für Skripting sicher sind Manche ActiveX-
Steuerelemente werden vom Entwickler als sicher für das Skripting markiert. Diese Ein-
stellung ist für alle Zonen außer Eingeschränkte Sites aktiviert. Normalerweise sollten
Sie hier die Standardeinstellung beibehalten. Weil der Entwickler entscheidet, ob das
Steuerelement als sicher für Skripting markiert wird, verrät diese Kennzeichnung nicht,
ob das ActiveX-Steuerelement vertrauenswürdiger ist als andere Steuerelemente.
Verwalten von ActiveX-Add-Ons auf einem einzelnen Computer
Gehen Sie folgendermaßen vor, um ActiveX-Steuerelemente auf einem einzelnen Computer
zu konfigurieren:
1. Öffnen Sie den Internet Explorer.
2. Klicken Sie in der Symbolleiste auf die Schaltfläche Extras, dann auf Add-Ons verwal-
ten und schließlich auf Add-Ons aktivieren bzw. deaktivieren.
152 Kapitel 4: Sicherheit

Das Dialogfeld Add-Ons verwalten wird geöffnet.


3. Klicken Sie auf die Dropdownliste Anzeigen und wählen Sie den Eintrag Heruntergela-
dene ActiveX-Steuerelemente aus.
4. Wählen Sie das ActiveX-Steuerelement aus, das Sie verwalten wollen, und wählen Sie
eine der folgenden Möglichkeiten. Klicken Sie auf OK, wenn Sie die gewünschten Ein-
stellungen vorgenommen haben.
„ Wählen Sie die Option Deaktivieren, um das ActiveX-Steuerelement zu deaktivieren.
„ Klicken Sie auf Löschen, um das ActiveX-Steuerelement zu entfernen.

Konfigurieren des ActiveX-Installerdienstes


Manche wichtige Webanwendungen setzen unter Umständen voraus, dass ActiveX-Steuer-
elemente laufen. Das kann ein Problem sein, wenn Ihre Benutzer nicht über administrative
Anmeldeinformationen verfügen, weil die UAC administrative Anmeldeinformationen an-
fordert, um ActiveX-Steuerelemente zu installieren (allerdings kann jeder Benutzer auf ein
ActiveX-Steuerelement zugreifen, wenn es erst einmal installiert ist).
Glücklicherweise können Sie den ActiveX-Installerdienst verwenden, damit Standardbenut-
zer bestimmte ActiveX-Steuerelemente installieren können. Gehen Sie folgendermaßen vor,
um die Liste der Sites zu konfigurieren, die ActiveX-Steuerelemente installieren dürfen:
1. Öffnen Sie das Gruppenrichtlinienobjekt (Group Policy Object, GPO) im Gruppenricht-
linienverwaltungs-Editor.
2. Erweitern Sie den Knoten Computerkonfiguration\Administrative Vorlagen\Windows-
Komponenten\ActiveX-Installerdienst.
3. Klicken Sie doppelt auf die Einstellung Genehmigte Installationsorte für ActiveX-Steuer-
elemente. Aktivieren Sie die Einstellung.
4. Klicken Sie auf die Schaltfläche Anzeigen, um einzutragen, welche Host-URLs (Uni-
form Resource Locator) ActiveX-Steuerelemente verteilen dürfen. Klicken Sie im Dia-
logfeld Inhalt anzeigen auf Hinzufügen und konfigurieren Sie die Host-URLs:
„ Tragen Sie als Elementnamen den Hostnamen der Website ein, von der Clients die
aktualisierten ActiveX-Steuerelemente herunterladen, zum Beispiel http://activex.
microsoft.com.
„ Tragen Sie als Wert vier Zahlen ein, die durch Kommas getrennt sind (zum Beispiel
»2,1,0,0«). Die Bedeutung dieser Werte wird weiter unten in diesem Abschnitt be-
schrieben.
5. Klicken Sie auf OK, um die Einstellung für die neue Richtlinie abzuspeichern.
Wenn Sie die Liste der genehmigten Installationssites für ActiveX-Steuerelemente konfigu-
rieren, tragen Sie für jede Site ein Name/Wert-Paar ein. Der Name ist immer der URL der
Site, die das ActiveX-Steuerelement anbietet, zum Beispiel http://activex.microsoft.com. Der
Wert besteht aus vier Zahlen:
„ Vertrauenswürdige ActiveX-Steuerelemente Tragen Sie als erste Zahl 0 ein, wenn
Sie verhindern wollen, dass vertrauenswürdige ActiveX-Steuerelemente installiert wer-
den dürfen, 1, wenn beim Benutzer nachgefragt werden soll, ob vertrauenswürdige Ac-
tiveX-Steuerelemente installiert werden sollen, oder 2, um die ActiveX-Steuerelemente
automatisch zu installieren, ohne beim Benutzer nachzufragen.
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 153

„ Signierte ActiveX-Steuerelemente Tragen Sie als zweite Zahl 0 ein, wenn Sie verhin-
dern wollen, dass signierte ActiveX-Steuerelemente installiert werden dürfen, 1, wenn
beim Benutzer nachgefragt werden soll, ob signierte ActiveX-Steuerelemente installiert
werden sollen, oder 2, um signierte ActiveX-Steuerelemente automatisch zu installieren,
ohne beim Benutzer nachzufragen.
„ Unsignierte ActiveX-Steuerelemente Tragen Sie als dritte Zahl 0 ein, wenn Sie ver-
hindern wollen, dass unsignierte ActiveX-Steuerelemente installiert werden dürfen, oder
1, wenn beim Benutzer nachgefragt werden soll, ob unsignierte ActiveX-Steuerelemente
installiert werden sollen. Sie können nicht einstellen, dass unsignierte ActiveX-Steuer-
elemente automatisch installiert werden.
„ Serverzertifikatrichtlinie Tragen Sie bei diesem Wert die Zahl 0 ein, wenn der
ActiveX-Installerdienst beim Auftreten von Zertifikatfehlern die Installation abbrechen
soll. Stattdessen können Sie 256 eintragen, um eine unbekannte Zertifizierungsstelle zu
ignorieren, 512, um ungültige Zertifikatverwendung zu ignorieren, 4096, um einen un-
bekannten Namen im Zertifikat zu ignorieren, oder 8192, um ein abgelaufenes Zertifikat
zu ignorieren. Addieren Sie diese Zahlen, wenn Sie mehrere Typen von Zertifikatfehlern
ignorieren wollen.
Beispielsweise bedeutet die Zahlenfolge »2,1,0,0«, dass der ActiveX-Installerdienst vertrau-
enswürdige ActiveX-Steuerelemente automatisch installiert, den Benutzer vor der Installation
signierter Steuerelemente fragt, unsignierte Steuerelemente niemals installiert und die In-
stallation abbricht, sobald irgendwelche HTTPS-Zertifikatfehler (Hypertext Transfer Proto-
col Secure) auftreten.
Wenn ein Benutzer versucht, ein ActiveX-Steuerelement zu installieren, das nicht genehmigt
wurde, trägt der ActiveX-Installerdienst ein Ereignis mit der ID 4097 und der Quelle »Ax-
InstallService« in das Anwendungsprotokoll ein.

So arbeitet der Internet Explorer in 64-Bit-Versionen von Windows 7


Aufgrund des breiteren Datenbusses, der viel höhere Skalierbarkeit erlaubt, gehört der
64-Bit-Architektur die Zukunft. Momentan arbeiten die meisten Benutzer allerdings noch
mit 32-Bit-Versionen von Windows.
Obwohl die 64-Bit-Versionen von Windows im Prinzip deutlich leistungsfähiger sind,
haben sie in der Praxis leider einige Kompatibilitätsprobleme. Insbesondere können
die 64-Bit-Versionen des Internet Explorers keine 32-Bit-Komponenten benutzen (etwa
ActiveX-Steuerelemente, ohne die viele Websites nicht benutzbar sind). 64-Bit-Kom-
ponenten verbreiten sich zwar immer mehr, aber einige wichtige Komponenten stehen
immer noch nicht für die 64-Bit-Architektur zur Verfügung.
Aus diesem Grund ist die 32-Bit-Version des Internet Explorers sogar in den 64-Bit-Ver-
sionen von Windows die Standardversion. Verwendet ein Benutzer stattdessen die 64-Bit-
Version des Internet Explorers (eine Verknüpfung dafür liegt im Startmenü), sollten Sie
alle problematischen Webseiten erst einmal in der 32-Bit-Version des Internet Explorers
überprüfen, bevor Sie sich an die weitere Problembehandlung machen.
154 Kapitel 4: Sicherheit

Hinzufügen von Sites zur Liste Vertrauenswürdige Sites


Der Internet Explorer ist in der Standardeinstellung so konfiguriert, dass Internetwebsites
viele Aktionen verboten sind, die möglicherweise die Sicherheit des Computers oder den
Datenschutz des Benutzers gefährden. Es gibt aber auch nützliche Websites, die solche
Aktionen durchführen müssen, damit Webanwendungen einwandfrei laufen.
Administratoren können Sites zur Liste Vertrauenswürdige Sites hinzufügen, um ihnen
zusätzliche Privilegien zu gewähren. Gehen Sie folgendermaßen vor, um eine Site zur Liste
Vertrauenswürdige Sites hinzuzufügen:
1. Klicken Sie im Internet Explorer in der Symbolleiste auf Extras und dann auf Internet-
optionen.
2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit. Wählen Sie
die Zone Vertrauenswürdige Sites aus und klicken Sie auf die Schaltfläche Sites.
3. Deaktivieren Sie im Dialogfeld Vertrauenswürdige Sites das Kontrollkästchen Für Sites
dieser Zone ist eine Serverüberprüfung (https:) erforderlich, wenn Sie mit HTTP statt
mit HTTPS auf den Server zugreifen.
4. Geben Sie im Textfeld Diese Website zur Zone hinzufügen den URL der Website ein,
zum Beispiel http://www.contoso.com, und klicken Sie auf Hinzufügen.
5. Klicken Sie auf Schließen.
Wenn Sie die Site das nächste Mal besuchen, gewährt der Internet Explorer ihr alle Privile-
gien, die der Zone Vertrauenswürdige Sites zugewiesen sind.

Geschützter Modus
Vor Windows Vista wurden viele Computer von Malware befallen, wenn Websites, die bös-
willigen Code enthielten, es schafften, den Webbrowser eines Besuchers dazu zu bringen,
Code auf dem Clientcomputer auszuführen. Weil jeder neue Prozess, der von einem vorhan-
denen Prozess gestartet wird, die Privilegien des Elternprozesses erbt und der Webbrowser
mit den vollen Privilegien des Benutzers lief, bekamen die heimlich gestarteten Prozesse
dieselben Privilegien wie der Benutzer. Und mit den erhöhten Privilegien des Benutzers
konnten solche böswilligen Prozesse Software installieren und vertrauliche Dokumente
versenden.
In Windows Vista und Windows 7 soll der Internet Explorer diese Gefahren verringern.
Dazu wurde ein Feature namens »Geschützter Modus« (protected mode) entwickelt. Beim
geschützten Modus (der erstmals in Internet Explorer 7 eingeführt wurde) läuft der Internet
Explorer 8 unter stark eingeschränkten Privilegien auf dem lokalen Computer. Er hat sogar
weniger Privilegien als ein Standardbenutzer in Windows 7. Sogar wenn böswilliger Code
auf einer Website es schafft, über den Internet Explorer einen Prozess zu starten, verfügt
dieser böswillige Prozess lediglich über die Privilegien, auf den Ordner Temporary Internet
Files und einige wenige andere Orte zuzugreifen. Er ist nicht in der Lage, Software zu in-
stallieren, den Computer neu zu konfigurieren oder die Dokumente des Benutzers zu lesen.
Zum Beispiel melden sich die meisten Benutzer mit administrativen Privilegien an Windows
XP-Computern an. Falls eine Website eine Sicherheitslücke in Windows XP ausnutzt, die
nicht durch ein Update beseitigt wurde, und erfolgreich einen Prozess startet, um Spyware
zu installieren, verfügt der Spyware-Installationsvorgang über die vollständigen Administra-
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 155

torprivilegien auf dem lokalen Computer. Auf einem Windows 7-Computer hat der Spyware-
Installationsprozess dagegen nur minimale Privilegien (sogar weniger als ein Standardbenut-
zer), ganz unabhängig davon, ob der Benutzer als Administrator angemeldet ist.
Der geschützte Modus ist eine Form der gestaffelten Verteidigung. Der geschützte Modus
kommt nur zum Tragen, wenn böswilliger Code erfolgreich den Webbrowser missbraucht
und sich ausführen lässt. In diesen Fällen begrenzt der geschützte Modus den Schaden, den
der Prozess ohne die Genehmigung des Benutzers anrichten kann. Der geschützte Modus
steht nicht zur Verfügung, wenn der Internet Explorer unter Windows XP installiert ist, weil
er verschiedene Sicherheitsfeatures voraussetzt, die nur unter Windows Vista und Windows 7
vorhanden sind.
Die folgenden Abschnitte beschreiben den geschützten Modus genauer.

So funktioniert der geschützte Modus


Eines der Features von Windows 7, die den geschützten Modus erst ermöglichen, ist Man-
datory Integrity Control (MIC). MIC kennzeichnet Prozesse, Ordner, Dateien und Registrie-
rungsschlüssel mit einer von vier möglichen Integritätszugriffsstufen (Integrity Access Level,
IL). Diese Integritätszugriffsstufen sind in Tabelle 4.1 beschrieben. Der Internet Explorer
läuft mit der IL »Niedrig«, das bedeutet, dass er ohne Genehmigung des Benutzers nur auf
andere Ressourcen mit der IL »Niedrig« zugreifen kann.

Tabelle 4.1 Integritätszugriffsstufen der Mandatory Integrity Control


IL Systemprivilegien
System Systemzugriff. Diese Prozesse haben uneingeschränkten Zugriff auf den Computer.
Hoch Administrativer Zugriff. Diese Prozesse können Dateien im Programme-Ordner installieren
und in kritische Registrierungsbereiche wie HKEY_LOCAL_MACHINE schreiben.
Mittel Benutzer. Diese Prozesse können Dateien im Dokumente-Ordner des Benutzers anlegen und
ändern sowie in benutzerspezifische Bereiche der Registrierung schreiben (zum Beispiel
HKEY_CURRENT_USER). Die meisten Dateien und Ordner auf einem Computer haben die
Integritätsstufe »Mittel«, weil für alle Objekte ohne entsprechende Kennzeichnung als
Standardintegritätsstufe »Mittel« verwendet wird.
Niedrig Nichtvertrauenswürdig. Diese Prozesse können nur in Speicherorte mit niedriger Integrität
schreiben, zum Beispiel den Ordner Temporary Internet Files\Low oder den Schlüssel
HKEY_CURRENT_USER\Software\LowRegistry.

Folgende Ressourcen haben eine niedrige IL, sodass der Internet Explorer im geschützten
Modus darauf zugreifen kann:
„ Der Ordner Verlauf
„ Der Ordner Cookies
„ Der Ordner Favoriten
„ Der Ordner %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet
Files\Low
„ Der Ordner für die Windows-Temporärdateien
„ Der Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low-
Registry
156 Kapitel 4: Sicherheit

So funktioniert die Kompatibilitätsschicht des geschützten Modus


Damit sowohl die Zahl der Privileganhebungsanforderungen als auch die Zahl der Kompa-
tibilitätsprobleme gering bleiben, stellt der geschützte Modus eine Kompatibilitätsschicht
(compatibility layer) zur Verfügung. Die Kompatibilitätsschicht des geschützten Modus leitet
Anforderungen nach geschützten Ressourcen an sichere Orte um. Beispielsweise werden
alle Anforderungen nach der Bibliothek Dokumente automatisch auf Unterordner des ver-
steckten Ordners \%UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet
Files\Virtualized umgeleitet. Wenn ein Add-On zum ersten Mal versucht, in ein geschütztes
Objekt zu schreiben, kopiert die Kompatibilitätsschicht das Objekt an einen sicheren Spei-
cherort und greift dann auf die Kopie zu. Alle künftigen Anforderungen nach dieser ge-
schützten Datei greifen auf die Kopie zu.
Die Kompatibilitätsschicht arbeitet nur mit Internet Explorer-Add-Ons, die für Versionen
vor Windows Vista geschrieben wurden, weil alles, was für Windows Vista oder Windows 7
entwickelt wurde, ohnehin nur auf Dateien in den bevorzugten Speicherorten zugreift.

Aktivieren der Kompatibilitätsprotokollierung


Manche Webanwendungen und Internet Explorer-Add-Ons, die für ältere Versionen des
Internet Explorers entwickelt wurden, verursachen Kompatibilitätsprobleme, wenn sie unter
Internet Explorer 8 und Windows 7 ausgeführt werden. Sie können die Ursache des Kompa-
tibilitätsproblems genauer untersuchen, indem Sie die Kompatibilitätsprotokollierung mit-
hilfe von Gruppenrichtlinien aktivieren. Gehen Sie folgendermaßen vor, um die Kompatibi-
litätsprotokollierung auf Ihrem lokalen Computer zu aktivieren:
1. Geben Sie im Suchfeld des Startmenüs den Befehl gpedit.msc ein und drücken Sie die
EINGABETASTE .
2. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor den Knoten Benutzerkonfigu-
ration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer. Wenn Sie
die Kompatibilitätsprotokollierung für alle Benutzer des Computers aktivieren wollen,
können Sie stattdessen den Knoten Computerkonfiguration\Administrative Vorlagen\
Windows-Komponenten\Internet Explorer verwenden.
3. Klicken Sie doppelt auf die Einstellung Kompatibilitätsprotokollierung aktivieren.
Wählen Sie die Option Aktiviert aus und klicken Sie dann auf OK.
4. Starten Sie den Internet Explorer neu, sofern er momentan offen ist.
Versuchen Sie, das Problem zu reproduzieren, während die Kompatibilitätsprotokollierung
aktiviert ist. Sehen Sie sich anschließend die Ereignisse in der Ereignisanzeige unter An-
wendungs- und Dienstprotokolle\Internet Explorer an. Manche Ereignisse, beispielsweise
mit der Ereignis-ID 1037, enthalten nur dann eine Beschreibung, wenn Sie zusätzlich das
Application Compatibility Toolkit installieren.

Hinweis Kompatibilitätsprotokollierung
Weitere Informationen über die Kompatibilitätsprotokollierung finden Sie in »Finding
Security Compatibility Issues in Internet Explorer 7« unter http://msdn.microsoft.com/en-us/
library/bb250493.aspx. Die dort beschriebenen Informationen gelten gleichermaßen für
Internet Explorer 8.
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 157

Deaktivieren des geschützten Modus


Falls Sie befürchten, dass der geschützte Modus des Internet Explorers Probleme mit einer
Webanwendung verursacht, können Sie den geschützten Modus zeitweise deaktivieren und
die Anwendung testen. Der geschützte Modus wird für jede Zone individuell aktiviert, für
vertrauenswürdige Sites ist er in der Standardeinstellung deaktiviert.
Gehen Sie folgendermaßen vor, um den geschützten Modus zu deaktivieren:
1. Öffnen Sie den Internet Explorer.
2. Klicken Sie in der Symbolleiste auf die Schaltfläche Extras und wählen Sie den Befehl
Internetoptionen.
3. Klicken Sie auf die Registerkarte Sicherheit.
4. Wählen Sie die Zone aus, für die Sie den geschützten Modus deaktivieren wollen. Deak-
tivieren Sie das Kontrollkästchen Geschützten Modus aktivieren.
5. Klicken Sie zweimal auf OK.
6. Starten Sie den Internet Explorer neu.
Funktioniert die Anwendung, während der geschützte Modus deaktiviert ist, hat das Problem
wahrscheinlich mit dem geschützten Modus zu tun. In diesem Fall sollten Sie den geschütz-
ten Modus wieder aktivieren und beim Anwendungsentwickler darauf dringen, dass die Pro-
bleme in der Webanwendung beseitigt werden. Stattdessen können Sie die Site auch zur
Zone Vertrauenswürdige Sites hinzufügen und den geschützten Modus für diese Site dauer-
haft deaktivieren.

Problembehandlung für Zertifikatprobleme


Zertifikate werden im Internet Explorer für verschiedene Aufgaben im Bereich der Sicher-
heit eingesetzt:
„ Verschlüsseln von Datenverkehr Für diese Aufgabe werden Zertifikate am häufigs-
ten im Internet Explorer verwendet. Viele Websites, besonders Websites von Online-
shops, die Kreditkarten akzeptieren, haben ein SSL-Zertifikat installiert. Dieses SSL-
Zertifikat ermöglicht eine HTTPS-Kommunikation, die sich ähnlich wie HTTP verhält,
aber mit Verschlüsselung und Authentifizierung erfolgt. Wenn ein Angreifer beim nor-
malen, unverschlüsselten HTTP Zugriff auf das Netzwerk bekommt, kann er alle Daten
lesen, die zum und vom Server übertragen werden. Bei HTTPS ist der Verkehr dagegen
verschlüsselt. Selbst wenn ein Angreifer den Verkehr abfängt, kann er ihn nicht lesen,
wenn er nicht über das private Zertifikat des Servers verfügt.
„ Authentifizieren des Servers SSL-Zertifikate authentifizieren den Server, indem der
Client überprüft, dass das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle
ausgestellt wurde und einer der Namen im Zertifikat dem Hostnamen entspricht, unter
dem der Zugriff auf die Site erfolgt. Das hilft, sogenannte Man-in-the-Middle-Angriffe
zu verhindern, bei denen ein Angreifer einen Clientcomputer dazu bringt, mit einem
böswilligen Server zu kommunizieren, der sich für den echten Server ausgibt. Websites
im öffentlichen Internet haben normalerweise SSL-Zertifikate, die von einer bekannten
Zertifizierungsstelle ausgestellt wurden, der der Internet Explorer standardmäßig vertraut.
Websites im Intranet verwenden manchmal Zertifikate, die von einer internen Zertifi-
158 Kapitel 4: Sicherheit

zierungsstelle ausgestellt wurden. Die Clientcomputer müssen dann so konfiguriert sein,


dass sie der internen Zertifizierungsstelle vertrauen.
„ Authentifizieren des Clients Websites im Intranet können Zertifikate an Clients in
ihrem Netzwerk ausstellen und anhand dieser Clientzertifikate interne Websites authenti-
fizieren. Wenn Sie AD DS-Gruppenrichtlinien verwenden, ist es ganz einfach, Client-
zertifikate im gesamten Unternehmen zu verteilen.
Stellt der Internet Explorer ein Problem mit einem Zertifikat fest, zeigt er die Meldung »Es
besteht ein Problem mit dem Sicherheitszertifikat der Website« an (Abbildung 4.7).

Abbildung 4.7 Der Internet Explorer erkennt falsche SSL-Zertifikate

Die folgende Liste beschreibt häufige Probleme, die bei der Verwendung von Zertifikaten im
Internet Explorer auftreten können, und erklärt, wie sie beseitigt werden können:
„ Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website
ausgestellt In diesem Fall gibt es mehrere mögliche Ursachen:
† Der Hostname, mit dem Sie auf die Website zugreifen, ist nicht die primäre Adresse
der Website. Zum Beispiel könnten Sie versuchen, über die IP-Adresse auf eine Web-
site zuzugreifen. Oder Sie greifen über einen alternativen Hostnamen auf die Website
zu, etwa contoso.com statt www.contoso.com.

Hinweis Alternative Antragstellernamen


Früher enthielten SSL-Zertifikate den Hostnamen, für den sie galten, im Feld Com-
mon Name (allgemeiner Name). So können Sie beispielsweise www.contoso.com als
allgemeinen Namen für Ihr Websitezertifikat eintragen. Griff ein Benutzer aber über
den Hostnamen contoso.com auf dieselbe Site zu, meldete der Browser früher einen
Fehler.
Seit etwa 2003 unterstützen die meisten verbreiteten Browser SSL-Zertifikate mit
alternativen Antragstellernamen (Subject Alternative Name, SAN). SANs sind Host-
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 159

namen, für die ein SSL-Zertifikat gilt. Beispielsweise können Sie ein SSL-Zertifikat
mit einer SAN-Liste erstellen, sodass die Benutzer entweder über contoso.com oder
www.contoso.com auf denselben Webserver zugreifen können.
Sie können sich die SAN-Liste eines Zertifikats ansehen, indem Sie die Site mit
HTTPS aufrufen und auf das Schlosssymbol in der Adressleiste des Internet Explo-
rers klicken. Klicken Sie auf Zertifikate anzeigen und dann auf die Registerkarte
Details. Wählen Sie das Feld Alternativer Antragstellername aus, um sich anzusehen,
für welche Hostnamen das Zertifikat gültig ist.

† Der Serveradministrator hat einen Fehler gemacht. Zum Beispiel könnte es sein, dass
der Administrator beim Hostnamen des Servers einen Tippfehler gemacht hat, als er
das Zertifikat anforderte. Oder der Administrator hat das falsche Zertifikat auf dem
Server installiert.
† Der Server gibt sich für einen Server mit einem anderen Hostnamen aus. So könnte
es sein, dass ein Angreifer eine Website eingerichtet hat, die sich für www.fabrikam.
com ausgibt. Der Angreifer verwendet aber ein anderes SSL-Zertifikat auf der Web-
site. Ältere Versionen des Internet Explorers zeigten eine weniger bedrohlich wir-
kende Fehlermeldung an, sodass viele Benutzer die Fehlermeldung wegklickten und
auf der böswilligen Site Eingaben machten.
„ Das Zertifikat ist abgelaufen Zertifikate haben eine begrenzte Lebensdauer, normaler-
weise 1 bis 5 Jahre. Ist das Zertifikat abgelaufen, sollte der Serveradministrator ein aktu-
alisiertes Zertifikat anfordern und es auf den Server einspielen.
„ Der Internet Explorer ist nicht so konfiguriert, dass er der Zertifizierungsstelle
vertraut Jeder, auch ein Angreifer, kann eine eigene Zertifizierungsstelle einrichten
und Zertifikate ausstellen. Daher vertraut der Internet Explorer standardmäßig nicht allen
Zertifizierungsstellen. Der Internet Explorer vertraut nur einer Handvoll öffentlicher
Zertifizierungsstellen. Wenn das Zertifikat von einer nichtvertrauenswürdigen Zertifizie-
rungsstelle ausgestellt wurde und die Website sich im öffentlichen Internet befindet, sollte
der Serveradministrator ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle
erwerben. Liegt die Website in Ihrem Intranet, sollte ein Clientadministrator den Internet
Explorer so konfigurieren, dass er der ausstellenden Zertifizierungsstelle vertraut. In AD
DS-Domänen vertrauen Mitgliedscomputer automatisch den Unternehmenszertifizie-
rungsstellen. Weitere Informationen finden Sie in den Übungen am Ende dieser Lektion.

Erkennen von Einschränkungen, die durch Gruppenrichtlinien verursacht


werden
Unternehmen brauchen vollständige Kontrolle über die Fähigkeiten der Webbrowser aller
Benutzer, und der Internet Explorer bietet enorme Flexibilität. Administratoren können bei-
spielsweise mit Gruppenrichtlinieneinstellungen die Registerkarten im Browser deaktivieren,
Popups erlauben, Vorschläge deaktivieren, die Suchanbieter einschränken oder die Favori-
tenleiste löschen.
Wenn sich ein Benutzer beschwert, dass ein Internet Explorer-Feature nicht richtig funktio-
niert, sollten Sie feststellen, ob die Einschränkungen eventuell durch Gruppenrichtlinien
verursacht werden. Mit dem Tool Richtlinienergebnissatz können Sie feststellen, welche
Einstellungen für einen Benutzer oder Computer definiert wurden und welche Gruppenricht-
160 Kapitel 4: Sicherheit

linienobjekte dafür verantwortlich sind. Gehen Sie folgendermaßen vor, um das Tool Richt-
linienergebnissatz zu benutzen:
1. Geben Sie im Suchfeld des Startmenüs den Befehl rsop.msc ein und drücken Sie die
EINGABETASTE .
2. Wählen Sie im Fenster Richtlinienergebnissatz unter Computerkonfiguration oder
Benutzerkonfiguration den Knoten Administrative Vorlagen\Windows-Komponenten\
Internet Explorer aus.
3. Wie in Abbildung 4.8 gezeigt, listet die Detailansicht auf, welche Internet Explorer-
Einstellungen definiert sind und welches Gruppenrichtlinienobjekt sie konfiguriert.

Abbildung 4.8 Das Tool Richtlinienergebnissatz zeigt, welche Gruppenrichtlinieneinstellungen


angewendet wurden und welches Gruppenrichtlinienobjekt verantwortlich ist

Übung Problembehandlung für Zertifikate


In dieser Übung üben Sie die Problembehandlung für Zertifikate, indem Sie ein nichtver-
trauenswürdiges Zertifikat ausstellen, sich ansehen, wie der Internet Explorer auf dieses
Zertifikat reagiert, und schließlich den Internet Explorer so konfigurieren, dass er diesem
Zertifikat vertraut.

Übung 1 Simulieren eines ungültigen Zertifikats


In dieser Übung öffnen Sie eine Webseite über einen anderen Hostnamen als den üblichen
Namen, der im SSL-Zertifikat angegeben ist, und sehen sich an, wie der Internet Explorer
darauf reagiert.
1. Öffnen Sie den Internet Explorer. Geben Sie in der Adressleiste https://www.microsoft.
com ein. Drücken Sie die EINGABETASTE .
Der Internet Explorer öffnet die Startseite www.microsoft.com über verschlüsseltes
HTTPS. Beachten Sie das goldene Schlosssymbol in der Adressleiste (Abbildung 4.9).

Abbildung 4.9 Das goldene Schlosssymbol in der Adressleiste zeigt, dass die
Kommunikation mit der Site verschlüsselt wird und das Zertifikat gültig ist
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 161

2. Klicken Sie auf das goldene Schlosssymbol in der Adressleiste, um die Identifizierungs-
daten der Website anzuzeigen. Beachten Sie, dass die Identifizierungsseite als »www.
microsoft.com« angezeigt wird, was exakt dem Hostnamen entspricht, den Sie in der
Adressleiste eingegeben haben.
3. Geben Sie in der Adressleiste https://microsoft.com ein. Diesmal beginnt der Hostname
also nicht mit »www«. Drücken Sie die EINGABETASTE .
Der Internet Explorer zeigt die Webseite Es besteht ein Problem mit dem Sicherheitszer-
tifikat der Website an. Das passiert, weil der Hostname im Zertifikat (www.microsoft.
com) nicht genau mit dem Hostnamen übereinstimmt, den Sie in der Adressleiste ein-
gegeben haben (microsoft.com). Die Benutzer bekommen dieselbe Fehlermeldung, wenn
sie versuchen, auf eine Site zuzugreifen, die sich für eine andere Site ausgibt.

Übung 2 Ausstellen eines nichtvertrauenswürdigen Zertifikats


In dieser Übung stellen Sie ein internes Zertifikat für einen Webserver aus und untersuchen,
wie Windows 7 als Mitglied der Domäne und von außerhalb der Domäne reagiert.
1. Stellen Sie in einer Testumgebung die Verbindung zu einem AD DS-Domänencontroller
her, der unter Windows Server 2008 R2 läuft, und melden Sie sich als Administrator an.
2. Klicken Sie im Startmenü auf Verwaltung und dann auf Server-Manager.
3. Wählen Sie im Server-Manager den Knoten Rollen aus und klicken Sie auf Rollen hinzu-
fügen.
4. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.
5. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Direc-
tory-Zertifikatdienste und klicken Sie auf Weiter.
6. Klicken Sie auf der Seite Einführung in Active Directory-Zertifikatdienste auf Weiter.
7. Wählen Sie auf der Seite Rollendienste auswählen die Dienste Zertifizierungsstelle,
Zertifizierungsstellen-Webregistrierung und Online-Responder aus. Klicken Sie auf
Erforderliche Rollendienste hinzufügen, wenn Sie aufgefordert werden, weitere Dienste
hinzuzufügen. Klicken Sie auf Weiter.
8. Wählen Sie auf der Seite Setuptyp angeben die Option Unternehmen aus. Klicken Sie
auf Weiter.
9. Lassen Sie auf der Seite Zertifizierungsstellentyp angeben die Option Stammzertifizie-
rungsstelle ausgewählt und klicken Sie auf Weiter.
10. Lassen Sie auf der Seite Privaten Schlüssel einrichten die Option Neuen privaten
Schlüssel erstellen ausgewählt. Klicken Sie auf Weiter.
11. Klicken Sie auf der Seite Kryptografie für ZS konfigurieren auf Weiter.
12. Geben Sie auf der Seite Name der Zertifizierungsstelle konfigurieren den Hostnamen für
Ihre Zertifizierungsstelle ein (beispielsweise DCSRV1.nwtraders.msft) und klicken Sie
auf Weiter.
13. Klicken Sie auf der Seite Festlegen der Gültigkeitsdauer auf Weiter.
14. Klicken Sie auf der Seite Zertifikatdatenbank konfigurieren auf Weiter.
15. Klicken Sie auf der Seite Webserver (IIS) auf Weiter.
162 Kapitel 4: Sicherheit

16. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.
17. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
18. Klicken Sie auf Schließen und dann auf Ja, um den Computer neu zu starten.
19. Warten Sie, bis der Computer neu gestartet ist, und melden Sie sich wieder an. Warten
Sie, bis der Server-Manager die Installation der Serverrollen abgeschlossen hat, und
klicken Sie auf Schließen.
20. Klicken Sie im Startmenü auf Verwaltung und dann auf Internetinformationsdienste
(IIS)-Manager.
21. Klicken Sie im Internetinformationsdienste-Manager auf Ihren Computer.
22. Klicken Sie doppelt auf Serverzertifikate.
23. Klicken Sie im Fensterabschnitt Aktionen auf Domänenzertifikat erstellen.
24. Geben Sie auf der Seite Eigenschaften für definierten Namen den vollständigen Host-
namen in das Feld Gemeinsamer Name ein, zum Beispiel dc1.nwtraders.msft. Geben
Sie Northwind Traders in das Feld Organisation ein und IT in das Feld Organisations-
einheit. Tragen Sie unter Ort, Bundesland/Kanton und Land/Region Ihre Daten ein.
Klicken Sie auf Weiter.
25. Klicken Sie auf der Seite Onlinezertifizierungsstelle auf Auswählen. Wählen Sie den
Domänencontroller aus und klicken Sie auf OK. Geben Sie im Textfeld Anzeigename
den Namen DC1 ein. Klicken Sie auf Fertig.
26. Erweitern Sie im Internetinformationsdienste-Manager den Knoten Sites und klicken Sie
auf Default Web Site. Klicken Sie mit der rechten Maustaste auf Default Web Site und
wählen Sie den Befehl Bindungen bearbeiten.
27. Klicken Sie im Dialogfeld Sitebindungen auf Hinzufügen.
28. Wählen Sie im Dialogfeld Sitebindung hinzufügen in der Dropdownliste Typ den Eintrag
HTTPS aus. Wählen Sie in der Dropdownliste SSL-Zertifikat den Eintrag dc1.nwtraders.
msft aus. Klicken Sie auf OK und dann auf Schließen.
29. Sie haben jetzt Ihren Domänencontroller als Webserver mit einem SSL-Zertifikat kon-
figuriert. Öffnen Sie den Internet Explorer. Geben Sie in der Adressleiste https://<Ge-
meinsamer_Name> ein, wobei <Gemeinsamer_Name> für den Namen steht, den Sie
im Zertifikat eingegeben haben (zum Beispiel dc1.nwtraders.msft). Drücken Sie die
EINGABETASTE .
Der Internet Explorer öffnet die Seite. Wie Sie sehen, erscheint das goldene Schloss-
symbol in der Adressleiste. Das zeigt, dass das SSL-Zertifikat gültig ist.
30. Öffnen Sie den Internet Explorer auf einem zweiten Windows 7-Computer, der nicht
Mitglied Ihrer Domäne ist. Wenn Sie keinen zweiten Computer zur Verfügung haben,
können Sie Ihren Windows 7-Computer stattdessen auch zeitweise aus der Domäne ent-
fernen. Geben Sie im Internet Explorer die Adresse https://<Gemeinsamer_Name> ein
und drücken Sie die EINGABETASTE .
Der Internet Explorer zeigt eine Warnmeldung an, dass das Zertifikat nicht von einer
vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde (Abbildung 4.10).
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 163

Abbildung 4.10 Die Warnmeldung des Internet Explorers,


dass die Zertifizierungsstelle nicht vertrauenswürdig ist

Fahren Sie nun mit Übung 3 fort, um dieses Problem zu beseitigen.

Übung 3 Eine Zertifizierungsstelle als vertrauenswürdig einstufen


In dieser Übung exportieren Sie das Stammzertifikat Ihrer Zertifizierungsstelle und kenn-
zeichnen es auf dem Windows 7-Computer, der nicht Mitglied Ihrer Domäne ist, als vertrau-
enswürdig. Anschließend können Sie die SSL-verschlüsselte Website öffnen, ohne dass eine
Warnmeldung erscheint. Um diese Übung durcharbeiten zu können, müssen Sie Übung 2
abgeschlossen haben.
1. Klicken Sie auf Ihrem Domänencontroller in der Konsole Zertifizierungsstelle mit der
rechten Maustaste auf Ihren Server und wählen Sie den Befehl Eigenschaften.
2. Klicken Sie auf die Registerkarte Allgemein. Klicken Sie auf Zertifikat Nr. 0 und dann
auf die Schaltfläche Zertifikat anzeigen.
3. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Details. Klicken Sie auf die
Schaltfläche In Datei kopieren.
4. Der Zertifikatexport-Assistent wird geöffnet. Klicken Sie auf Weiter.
5. Übernehmen Sie auf der Seite Exportdateiformat das Standardexportformat und klicken
Sie auf Weiter.
6. Geben Sie auf der Seite Zu exportierende Datei den Namen C:\root.cer ein und klicken
Sie auf Weiter.
7. Klicken Sie auf Fertig stellen und dann dreimal auf OK.
8. Wechseln Sie auf den Windows 7-Clientcomputer, der nicht Mitglied Ihrer Testdomäne
ist, und öffnen Sie dort den Internet Explorer. Klicken Sie im Internet Explorer in der
Symbolleiste auf die Schaltfläche Extras und dann auf Internetoptionen.
9. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Inhalte und dann auf
Zertifikate.
164 Kapitel 4: Sicherheit

10. Klicken Sie im Dialogfeld Zertifikate auf die Registerkarte Vertrauenswürdige Stamm-
zertifizierungsstellen. Klicken Sie auf die Schaltfläche Importieren.
11. Der Zertifikatimport-Assistent wird geöffnet. Klicken Sie auf der Seite Willkommen auf
Weiter.
12. Klicken Sie auf der Seite Zu importierende Datei auf die Schaltfläche Durchsuchen.
Geben Sie im Dialogfeld Öffnen den Pfad \\<Servername>\c$\root.cer ein und klicken
Sie auf Öffnen. Klicken Sie auf Weiter.
13. Auf der Seite Zertifikatspeicher sehen Sie, dass der Zertifikatimport-Assistent das Zer-
tifikat standardmäßig in den Speicher »Vertrauenswürdige Stammzertifizierungsstellen«
importiert. Das ist die richtige Stelle. Klicken Sie auf Weiter.
14. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.
15. Eine Sicherheitswarnung wird angezeigt. Klicken Sie auf Ja, um das Zertifikat zu instal-
lieren. Klicken Sie dann auf OK.
16. Klicken Sie auf Schließen und dann auf OK.
17. Geben Sie im Internet Explorer wieder die Adresse https://<Gemeinsamer_Name> ein
und drücken Sie die EINGABETASTE .
Der Internet Explorer öffnet die Seite. Wie Sie sehen, erscheint diesmal das goldene
Schlosssymbol in der Adressleiste, was anzeigt, dass das SSL-Zertifikat gültig ist. Weil
dieser Computer kein Mitglied der AD DS-Domäne ist, mussten Sie das Stammzertifikat
von Hand als vertrauenswürdig kennzeichnen. Nun gelten alle Zertifikate, die von dieser
Zertifizierungsstelle ausgestellt werden, als vertrauenswürdig. Wäre der Computer Mit-
glied der AD DS-Domäne, hätten Gruppenrichtlinien dafür gesorgt, dass der Computer
der Unternehmenszertifizierungsstelle automatisch vertraut.

Zusammenfassung der Lektion


„ Webanwendungsentwickler verwenden oft Internet Explorer-Add-Ons, um die Fähig-
keiten des Webbrowsers zu erweitern. Manche Add-Ons können allerdings Zuverlässig-
keitsprobleme verursachen, andere gefährden womöglich die Sicherheit Ihrer Organi-
sation. Glücklicherweise stellt der Internet Explorer Möglichkeiten zur Verfügung, Add-
Ons zu deaktivieren und ActiveX-Steuerelemente zu löschen. Falls ein Add-On verhin-
dert, dass der Internet Explorer startet, können Sie den Internet Explorer in einem Modus
starten, in dem alle Add-Ons deaktiviert sind.
„ Der Internet Explorer schränkt die Fähigkeiten von Websites im öffentlichen Internet
ein, um die Sicherheit des Benutzers zu gewährleisten. Gelegentlich verhindern diese
Einschränkungen allerdings, dass eine erwünschte Webanwendung richtig funktioniert.
Wenn Sie eine Webanwendung haben, die nicht einwandfrei funktioniert, und Sie der
Website vertrauen, können Sie diese Website zur Liste Vertrauenswürdige Sites hinzu-
fügen. Sites, die in der Liste Vertrauenswürdige Sites stehen, bekommen mehr Privi-
legien als Sites im öffentlichen Internet. Daher steigt die Wahrscheinlichkeit, dass sie
richtig funktionieren.
„ Der geschützte Modus ist eines der wichtigsten Sicherheitsfeatures von Windows Inter-
net Explorer 8.0. Er steht nur unter Windows Vista und Windows 7 zur Verfügung. In der
Standardeinstellung sorgt der geschützte Modus dafür, dass der Internet Explorer mit
niedrigen Privilegien läuft. Das verhindert, dass der Internet Explorer (oder ein Prozess,
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 165

der vom Internet Explorer gestartet wird) auf die meisten Ressourcen des Computers
zugreifen kann. Der Benutzer muss seine Genehmigung erteilen, wenn der Internet
Explorer oder ein Add-On erhöhte Privilegien benötigt.
„ Viele Websites verwenden Zertifikate, um den Webserver zu authentifizieren und ver-
schlüsselte Kommunikation zu ermöglichen. Zertifikate sind sehr wichtig für Websites,
die Zugriff auf vertrauliche Informationen ermöglichen oder persönliche Daten der Be-
nutzer sammeln (etwa Kreditkartennummern). Das häufigste Problem bei Zertifikaten
ist, dass der Serverhostname nicht übereinstimmt. Dies lässt sich normalerweise dadurch
lösen, dass der Hostname verwendet wird, der im Zertifikat eingetragen ist. Bei Servern
innerhalb Ihres Intranets können Zertifikatprobleme auftreten, wenn der Computer nicht
richtig konfiguriert wurde, sodass er der Zertifizierungsstelle nicht vertraut.
„ Gruppenrichtlinien verschaffen Administratoren weitgehende Kontrolle über die Features
des Internet Explorers. Treten bei einem Benutzer Probleme auf, weil ein Feature nicht
richtig zu funktionieren scheint, ist es möglich, dass die Ursache eine bewusst gewählte
Konfigurationseinstellung der Administratoren ist. Führen Sie das Tool Richtlinienergeb-
nissatz (Rsop.msc) aus, um auf einem Computer zu prüfen, welche Einschränkungen
mithilfe von Gruppenrichtlinien auf den Internet Explorer angewendet werden. Wählen
Sie dann die Knoten Computerkonfiguration\Administrative Vorlagen\Windows-Kompo-
nenten\Internet Explorer und Benutzerkonfiguration\Administrative Vorlagen\Windows-
Komponenten\Internet Explorer aus. Das Tool Richtlinienergebnissatz zeigt, welche
Einstellungen definiert sind und welche Gruppenrichtlinienobjekte dafür verantwortlich
sind.

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 2,
»Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit«, überprüfen. Die
Fragen finden Sie (in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch
auf dem Computer im Rahmen eines Übungstests beantworten.

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Ein Benutzer versucht, eine der vielen internen Websites zu besuchen, die von Ihrer IT-
Abteilung zur Verfügung gestellt werden. Der Link des Benutzers verwendet standard-
mäßig SSL. Als der Benutzer heute versucht hat, die Seite zu öffnen, zeigt der Internet
Explorer ihm die folgende Meldung an:
Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website
ausgestellt.
Wodurch könnte diese Meldung ausgelöst werden? (Wählen Sie alle zutreffenden Ant-
worten aus.)
A. Das Zertifikat ist abgelaufen.
B. Ein Angreifer leitet den Verkehr auf einen böswilligen Webserver um.
166 Kapitel 4: Sicherheit

C. Der Internet Explorer vertraut der Zertifizierungsstelle nicht mehr, die das Zertifikat
ausgestellt hat.
D. Das Zertifikat der Website wurde für einen anderen Hostnamen ausgestellt als den,
der im Link des Benutzers gespeichert ist.
2. Welche der folgenden Elemente blockiert der Internet Explorer in der Standardeinstel-
lung (bis ein Benutzer sie genehmigt)? (Wählen Sie alle zutreffenden Antworten aus.)
A. Animierte GIFs
B. Hintergrundmusik in einer Webseite
C. In einer Webseite eingebettete Videos
D. Anzeigen des Quelltextes einer Webseite
3. Welche der folgenden Anforderungstypen leitet die Internet Explorer-Kompatibilitäts-
schicht des geschützten Modus an eine virtualisierte Position um?
A. Speichern eines Cookies
B. Speichern einer Datei im Ordner Dokumente
C. Anfragen beim Benutzer, welche Datei er auf eine Website hochladen will
D. Speichern einer Datei im Ordner Temporary Internet Files
4. Sie bekommen einen Anruf von einem Benutzer, der versucht, auf eine Webseite zuzu-
greifen. Der Benutzer hat vor Kurzem von Windows XP und Internet Explorer 6.0 auf
Windows 7 gewechselt. Die Webseite enthält ein ActiveX-Steuerelement, das aber beim
Benutzer nicht auf der Webseite erscheint. Wie kann der Benutzer dieses Problem besei-
tigen? (Wählen Sie alle zutreffenden Antworten aus.)
A. Klicken Sie mit der rechten Maustaste auf die Seite und wählen Sie den Befehl
ActiveX-Steuerelement ausführen.
B. Klicken Sie auf die Informationsleiste und wählen Sie den Befehl ActiveX-Steuer-
element ausführen.
C. Fügen Sie die Site zur Zone Vertrauenswürdige Sites hinzu.
D. Deaktivieren Sie im Dialogfeld Sicherheit das Kontrollkästchen Geschützten Modus
aktivieren.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 167

Lektion 3: Steuern des Zugriffs auf Daten


mithilfe von Verschlüsselung
Sobald ein Angreifer physischen Zugriff auf einen Datenträger hat, kann er die Sicherheits-
features des Betriebssystems, zum Beispiel NTFS-Dateiberechtigungen, ganz einfach um-
gehen. Aber mit Verschlüsselung können Sie Daten sogar dann schützen, wenn Ihr Daten-
träger in die falschen Hände gerät.
Verschlüsselung macht Daten für jeden völlig unlesbar, der nicht über einen gültigen Schlüs-
sel verfügt. Wird Verschlüsselung eingesetzt, brauchen Angreifer sowohl Zugriff auf die
Daten als auch auf den Schlüssel, bevor sie Ihre privaten Dateien lesen können. Windows 7
stellt zwei Dateiverschlüsselungstechnologien zur Verfügung: EFS (zum Verschlüsseln ein-
zelner Dateien und Ordner) und BitLocker (zum Verschlüsseln des gesamten Systemlauf-
werks). In vielen Umgebungen kombinieren Sie die beiden.
Diese Lektion beschreibt, wie Sie EFS und BitLocker konfigurieren, und erklärt, wie Sie
eine Problembehandlung durchführen.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ EFS konfigurieren, mehreren Benutzern Zugriff auf EFS-verschlüsselte Dateien gewäh-
ren und EFS-Zertifikate sichern und wiederherstellen
„ Beschreiben, wodurch sich die BitLocker-Verschlüsselung von EFS unterscheidet, Akti-
vieren von BitLocker und Wiederherstellen von Daten auf einem BitLocker-verschlüs-
selten Volume
Veranschlagte Zeit für diese Lektion: 40 Minuten

Das verschlüsselnde Dateisystem EFS


EFS (Encrypting File System, verschlüsselndes Dateisystem) ist eine Dateiverschlüsselungs-
technologie, die nur auf NTFS-Volumes unterstützt wird. Sie schützt Dateien gegen Offline-
angriffe wie etwa Festplattendiebstahl. Weil EFS auf der Dateisystemebene arbeitet, ist es
für Benutzer und Anwendungen völlig transparent. Dass die Daten verschlüsselt sind, wird
nur dann deutlich, wenn ein Benutzer auf eine verschlüsselte Datei zugreifen will, für die er
keinen Schlüssel hat. In diesem Fall kann er überhaupt nicht auf den Inhalt der Datei zu-
greifen.
EFS wurde mit dem Ziel entworfen, vertrauliche Daten auf mobilen oder gemeinsam genutz-
ten Computern zu schützen. Bei solchen Computern ist die Gefahr größer, dass Angriffe
durchgeführt werden, die Einschränkungen durch Zugriffssteuerungslisten (Access Control
List, ACL) wie zum Beispiel Dateiberechtigungen umgehen. Ein Angreifer kann einen Com-
puter stehlen, das Festplattenlaufwerk ausbauen, in ein anderes System einbauen und sich so
Zugriff auf die gespeicherten Dateien verschaffen (selbst wenn sie ansonsten durch Datei-
berechtigungen geschützt werden). Wenn der Angreifer aber nicht über den Schlüssel ver-
fügt, scheinen die mit EFS verschlüsselten Dateien lediglich unsinnige Zeichen zu enthalten.
In den meisten Aspekten funktioniert EFS in Windows 7 genauso wie in Windows XP und
Windows Vista.
168 Kapitel 4: Sicherheit

Hinweis Windows 7-Versionen, die EFS nicht unterstützen


Windows 7 Starter, Windows 7 Home Basic und Windows 7 Home Premium enthalten keine
Unterstützung für EFS.

Verschlüsseln eines Ordners mit EFS


Mit EFS können Sie ausgewählte Dateien und Ordner verschlüsseln. Gehen Sie folgender-
maßen vor, um EFS für einen Ordner zu aktivieren:
1. Klicken Sie im Startmenü auf Computer.
Es wird ein Windows-Explorer-Fenster geöffnet.
2. Klicken Sie mit der rechten Maustaste auf den Ordner, den Sie verschlüsseln wollen, und
wählen Sie den Befehl Eigenschaften. Wollen Sie beispielsweise das Profil eines Benut-
zers verschlüsseln, können Sie C:\Users auswählen, mit der rechten Maustaste auf den
gewünschten Profilordner klicken und den Befehl Eigenschaften wählen.
3. Klicken Sie in der Registerkarte Allgemein auf die Schaltfläche Erweitert.
4. Aktivieren Sie im Dialogfeld Erweiterte Attribute das Kontrollkästchen Inhalt verschlüs-
seln, um Daten zu schützen.
5. Klicken Sie zweimal auf OK.
6. Übernehmen Sie im Dialogfeld Änderungen der Attribute bestätigen die Standardein-
stellung, damit auch Unterordner verschlüsselt werden, und klicken Sie auf OK.

Hinweis Erkennen EFS-verschlüsselter Dateien und Ordner im Windows-Explorer


Im Windows-Explorer werden EFS-verschlüsselte Dateien und Ordner in grüner Farbe
angezeigt. Andere Benutzer können EFS-verschlüsselte Ordner weiterhin ansehen, sind
aber nicht in der Lage, auf EFS-verschlüsselte Dateien zuzugreifen.

Während des Verschlüsselungsprozesses kann die Fehlermeldung erscheinen, dass eine


Datei (zum Beispiel NTUSER.dat, die Registrierungsstruktur des Benutzers) momentan
verwendet wird. Damit die Benutzer keine Datei verschlüsseln, die gebraucht wird, um
den Computer zu starten, können Sie keine Dateien verschlüsseln, die mit dem Attribut
für Systemdateien markiert sind. Verschlüsselte Dateien können nicht mit der NTFS-
Komprimierung komprimiert werden.

Hinweis EFS-verschlüsselte Dateien können nicht indiziert werden


EFS-verschlüsselte Dateien werden nicht indiziert und nicht in Suchergebnissen zurück-
gegeben. Sie können die Indizierung für einige verschlüsselte Dateien aktivieren, indem
Sie das Tool Indizierungsoptionen in der Systemsteuerung öffnen, auf Erweitert klicken
und das Kontrollkästchen Verschlüsselte Dateien indizieren aktivieren. Stattdessen kön-
nen Sie auch die Gruppenrichtlinieneinstellung Indizieren verschlüsselter Dateien zulas-
sen im Knoten Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\
Suche aktivieren.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 169

Erstellen und Sichern von EFS-Zertifikaten


EFS verwendet Zertifikate, um Daten zu ver- und entschlüsseln. Falls Sie ein EFS-Zertifikat
verlieren, können Sie Ihre Dateien nicht mehr entschlüsseln. Daher ist es sehr wichtig, EFS-
Zertifikate zu sichern.
Die in Windows integrierten Datensicherungstools sichern Ihre Zertifikate automatisch.
Außerdem stellt Windows 7 eine Assistentenoberfläche zur Verfügung, in der Sie EFS-
Zertifikate von Hand erstellen und sichern können. Gehen Sie dazu folgendermaßen vor:
1. Klicken Sie im Startmenü auf Systemsteuerung.
2. Klicken Sie auf den Link Benutzerkonten und dann erneut auf Benutzerkonten.
3. Klicken Sie im linken Fensterabschnitt auf den Link Dateiverschlüsselungszertifikate
verwalten.
Der Assistent Verschlüsselndes Dateisystem wird geöffnet.
4. Klicken Sie auf der Seite Verwalten Sie die Zertifikate zur Dateiverschlüsselung auf
Weiter.
5. Wählen Sie auf der Seite Ein Dateiverschlüsselungszertifikat auswählen oder erstellen
(Abbildung 4.11) die Option Dieses Zertifikat verwenden, sofern bereits ein EFS-Zerti-
fikat vorhanden ist (Windows 7 generiert automatisch ein Zertifikat, wenn ein Benutzer
zum ersten Mal eine Datei verschlüsselt) und Sie es sichern wollen. Wenn Sie ein anderes
als das Standardzertifikat verwenden wollen, können Sie auf die Schaltfläche Zertifikat
auswählen klicken. Wollen Sie von Hand ein Zertifikat generieren, müssen Sie die Option
Neues Zertifikat erstellen auswählen.

Abbildung 4.11 Im Assistenten Verschlüsselndes Dateisystem


können Sie EFS-Zertifikate sichern
170 Kapitel 4: Sicherheit

6. Wenn Sie ein neues Zertifikat erstellen, wird die Seite Welchen Zertifikattyp möchten Sie
erstellen geöffnet. Wenn Sie eine Smartcard verwenden wollen, um das Zertifikat zu
speichern, können Sie Ihre Smartcard einlegen und die Option Ein selbstsigniertes Zer-
tifikat auf meiner Smartcard auswählen. Stellt Ihre Domäne eine Unternehmenszertifi-
zierungsstelle zur Verfügung, können Sie die Option Ein Zertifikat, das von der Zerti-
fizierungsstelle der Domäne ausgestellt wurde auswählen. Behalten Sie andernfalls die
Standardeinstellung Ein selbstsigniertes Zertifikat auf meinem Computer bei. Klicken
Sie auf Weiter.
7. Klicken Sie auf der Seite Schlüssel und Zertifikat sichern auf die Schaltfläche Durch-
suchen, um einen unverschlüsselten Ordner auszusuchen, in dem das Zertifikat gespei-
chert wird. Es ist am sinnvollsten, das Zertifikat auf einen Wechseldatenträger zu schrei-
ben, den Sie dann an einem sicheren Ort verwahren. Geben Sie dann das Kennwort
zweimal in die entsprechenden Textfelder ein. Klicken Sie auf Weiter.
8. Wenn die Seite Bereits verschlüsselte Dateien aktualisieren angezeigt wird, bedeutet das,
dass einige Dateien mit einem anderen Schlüssel verschlüsselt wurden als dem, den Sie
ausgewählt haben. Um künftige Probleme beim Entschlüsseln der Dateien zu vermeiden,
sollten Sie die verschlüsselten Dateien immer aktualisieren. Aktivieren Sie das Kontroll-
kästchen Alle logischen Laufwerke und klicken Sie dann auf Weiter. Der Assistent Ver-
schlüsselndes Dateisystem aktualisiert daraufhin die Schlüssel für alle verschlüsselten
Dateien. Das kann einige Minuten bis einige Stunden dauern, je nachdem, wie viele
Dateien aktualisiert werden müssen.
Der Assistent Verschlüsselndes Dateisystem sichert Ihre Schlüssel und speichert sie in
der angegebenen Datei. Bewahren Sie diese Datei sicher auf.
9. Klicken Sie auf der letzten Seite auf Schließen.
Sie können ein EFS-Zertifikat wiederherstellen, indem Sie es doppelt anklicken. Folgen Sie
dann den Anweisungen des Zertifikatimport-Assistenten. Eine Schritt-für-Schritt-Anleitung
finden Sie in Übung 3 am Ende dieser Lektion.
Statt über die Systemsteuerung können Sie EFS-Zertifikate auch im Windows-Explorer
sichern. Gehen Sie dazu folgendermaßen vor:
1. Öffnen Sie den Windows-Explorer und wählen Sie eine Datei aus, die Sie verschlüsselt
haben. Sie müssen dafür eine Datei verwenden, keinen Ordner.
2. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie den Befehl Eigen-
schaften.
3. Klicken Sie auf der Registerkarte Allgemein auf Erweitert.
4. Klicken Sie im Dialogfeld Erweiterte Attribute auf Details, um das Dialogfeld Benutzer-
zugriff zu öffnen.
5. Wählen Sie Ihren Benutzernamen aus und klicken Sie auf Schlüssel sichern, um den
Zertifikatexport-Assistenten zu öffnen.
6. Klicken Sie auf Weiter, um das verwendete Dateiformat auszuwählen.
7. Klicken Sie auf Weiter und geben Sie ein Kennwort ein, das den Schlüssel schützt.
Wiederholen Sie die Eingabe und klicken Sie dann auf Weiter.
8. Geben Sie einen Pfad und Dateinamen ein, unter dem die Datei gespeichert werden soll,
oder suchen Sie einen Pfad. Klicken Sie auf Weiter.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 171

9. Klicken Sie auf Fertig stellen, um das Zertifikat zu exportieren, und klicken Sie dann auf
OK, wenn bestätigt wird, dass der Export erfolgreich war.
Jeder, der Zugriff auf ein EFS-Zertifikat hat, kann die Dateien des entsprechenden Benutzers
entschlüsseln. Daher ist sehr wichtig, dass Sie die gesicherte Zertifikatdatei an einem sicheren
Ort aufbewahren.

Weiteren Benutzern Zugriff auf eine EFS-verschlüsselte Datei gewähren


In der Standardeinstellung kann ausschließlich der Benutzer, der eine Datei verschlüsselt
hat, darauf zugreifen. Windows 7 (wie auch Windows Vista, Windows XP und Windows
Server 2003, aber nicht Microsoft Windows 2000) bieten Ihnen allerdings die Möglichkeit,
mehr als einem Benutzer Zugriff auf eine EFS-verschlüsselte Datei zu gewähren. Das ist
möglich, weil EFS die Dateien nicht mit dem persönlichen EFS-Schlüssel des Benutzers
verschlüsselt. Vielmehr verschlüsselt EFS die Dateien mit einem Dateiverschlüsselungs-
schlüssel (File Encryption Key, FEK) und verschlüsselt dann wiederum den FEK mit dem
persönlichen EFS-Schlüssel des Benutzers. Daher werden für die Entschlüsselung zwei
getrennte Schlüssel benötigt. Der FEK-Schlüssel kann aber für mehrere Benutzer jeweils
anders verschlüsselt werden, sodass jeder dieser Benutzer auf sein verschlüsseltes Exemplar
des FEK-Schlüssels zugreifen und die Dateien entschlüsseln kann.
Gehen Sie folgendermaßen vor, um mehreren Benutzern eines Computers Zugriff auf ver-
schlüsselte Dateien zu gewähren:
1. Klicken Sie im Windows-Explorer mit der rechten Maustaste auf die Datei und wählen
Sie den Befehl Eigenschaften.
2. Klicken Sie auf der Registerkarte Allgemein auf Erweitert.
3. Klicken Sie im Dialogfeld Erweiterte Attribute auf die Schaltfläche Details.
Das Dialogfeld Benutzerzugriff wird geöffnet. Es listet die Benutzer auf, die Zugriff auf
die Datei haben, sowie die Benutzer, die als Wiederherstellungsagenten agieren können.
4. Klicken Sie auf Hinzufügen.
Das Dialogfeld Verschlüsselndes Dateisystem wird geöffnet und zeigt eine Liste der
Benutzer an, die sich am lokalen Computer angemeldet haben und über ein EFS-Zerti-
fikat verfügen. Ein Domänenadministrator kann EFS-Zertifikate generieren, Windows 7
generiert aber auch automatisch eines, sobald ein Benutzer zum ersten Mal eine Datei
verschlüsselt.
5. Sie können einen Domänenbenutzer, der sich nicht in der Liste befindet, aber über ein
gültiges Verschlüsselungszertifikat verfügt, hinzufügen, indem Sie auf die Schaltfläche
Benutzer suchen klicken. Wenn EFS Sie informiert, dass keine geeigneten Zertifikate für
den ausgewählten Benutzer vorhanden sind, wurde für den Benutzer noch kein EFS-Zer-
tifikat ausgestellt. Der Benutzer kann eines generieren, indem er eine Datei verschlüsselt,
oder ein Domänenadministrator kann ein EFS-Zertifikat an den Benutzer schicken.

Hinweis Zertifikate von Hand importieren


Wenn ein Benutzer ein Zertifikat hat, Sie es aber nicht finden, können Sie es auch von
Hand importieren. Lassen Sie das Zertifikat erst vom Benutzer exportieren, wie im vor-
herigen Abschnitt beschrieben. Importieren Sie dann das Zertifikat, wie im nächsten
Abschnitt beschrieben.
172 Kapitel 4: Sicherheit

6. Wählen Sie den Benutzer aus, den Sie hinzufügen wollen, und klicken Sie dann auf OK.
7. Wiederholen Sie die Schritte 4 bis 6, um weitere Benutzer hinzuzufügen. Klicken Sie
dann dreimal auf OK.
Sie können keine verschlüsselten Ordner mit mehreren Benutzern gemeinsam verwenden,
nur einzelne Dateien. Sie können nicht einmal mehrere verschlüsselte Dateien in einer ein-
zigen Operation für die Verwendung durch andere Benutzer freigeben, das müssen Sie für
jede einzelne Datei erledigen. Sie können aber das Befehlszeilentool Cipher.exe verwenden,
um diese Freigabe von Dateien zu automatisieren.
Wenn Sie einem Benutzer EFS-Zugriff auf eine Datei gewähren, werden dabei nicht die
NTFS-Berechtigungen überschrieben. Wenn einem Benutzer daher die Dateiberechtigungen
fehlen, um auf eine Datei zuzugreifen, verhindert Windows 7, dass der Benutzer diese Datei
verwenden kann.
Alle Benutzer, die Zugriff auf eine EFS-verschlüsselte Datei haben, können ihrerseits
anderen Benutzern den Zugriff auf diese Datei gewähren.

Hinweis EFS hat keine Wirkung auf die Freigabe in einem Netzwerk
EFS hat keine Auswirkung, wenn Sie Dateien und Ordner über ein Netzwerk freigeben.
Daher brauchen Sie den beschriebenen Schritten nur zu folgen, wenn Sie einen Ordner mit
anderen lokalen Benutzern auf demselben Computer gemeinsam verwenden wollen.

Importieren persönlicher Zertifikate


Sie können verschlüsselte Dateien mit anderen Benutzern gemeinsam verwenden, sofern Sie
das Zertifikat dieser anderen Benutzer haben. Wenn Sie einem anderen Benutzer erlauben
wollen, auf eine Datei zuzugreifen, die Sie verschlüsselt haben, müssen Sie das Zertifikat
dieses Benutzers auf Ihren Computer importieren und seinen Namen zur Liste der Benutzer
hinzufügen, denen der Zugriff auf die Datei gestattet ist (wie im vorherigen Abschnitt be-
schrieben).
Gehen Sie folgendermaßen vor, um ein Benutzerzertifikat zu importieren:
1. Geben Sie im Suchfeld des Startmenüs den Befehl mmc ein und drücken Sie die EIN-
GABETASTE , um eine leere MMC zu öffnen.
2. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen.
3. Wählen Sie Zertifikate aus und klicken Sie auf Hinzufügen. Wählen Sie die Option
Eigenes Benutzerkonto aus und klicken Sie dann auf Fertig stellen. Klicken Sie auf OK,
um das Dialogfeld Snap-Ins hinzufügen bzw. entfernen zu entfernen.
4. Erweitern Sie den Knoten Zertifikate und wählen Sie Vertrauenswürdige Personen aus.
5. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Personen. Wählen Sie im
Kontextmenü erst Alle Aufgaben und dann Importieren, um den Zertifikatimport-Assis-
tenten zu öffnen.
6. Klicken Sie auf Weiter und suchen Sie den Ordner des Zertifikats, das Sie importieren
wollen.
7. Wählen Sie das Zertifikat aus und klicken Sie auf Weiter.
8. Geben Sie das Kennwort für das Zertifikat ein und klicken Sie auf Weiter.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 173

9. Klicken Sie auf Weiter, um das Zertifikat in den Speicher »Vertrauenswürdige Personen«
zu legen.
10. Klicken Sie auf Fertig stellen, um den Import abzuschließen.
11. Klicken Sie in der Bestätigung, dass der Import erfolgreich war, auf OK. Schließen Sie
die MMC.
Jetzt können Sie diesem Benutzer den Zugriff auf EFS-verschlüsselte Dateien gewähren.

Wiederherstellen einer EFS-verschlüsselten Datei


mit einem Datenwiederherstellungs-Agenten
EFS gewährt Datenwiederherstellungs-Agents (Data Recovery Agent, DRA) die Berechti-
gung, Dateien zu entschlüsseln, damit ein Administrator verschlüsselte Dateien wiederher-
stellen kann, selbst wenn der Benutzer seinen EFS-Schlüssel verliert. In der Standardeinstel-
lung konfigurieren Arbeitsgruppencomputer das lokale Administratorkonto als DRA. In
Domänenumgebungen konfigurieren Domänenadministratoren ein oder mehrere Benutzer-
konten als DRAs für die gesamte Domäne.
Weil DRA-Zertifikate nicht automatisch kopiert werden, wenn sich ein Administrator an
einem Computer anmeldet, ist es ein wenig langwierig, das DRA-Zertifikat zu kopieren und
eine EFS-verschlüsselte Datei wiederherzustellen (es ist aber nicht schwierig). Gehen Sie
folgendermaßen vor, um eine EFS-verschlüsselte Datei wiederherzustellen:
1. Zuerst müssen Sie eine Kopie des DRA-Zertifikats beschaffen. In der Standardeinstel-
lung ist sie im Administratorkonto auf dem ersten Domänencontroller in der Domäne
gespeichert. Melden Sie sich mit dem DRA-Konto am ersten Domänencontroller in der
Domäne an.
2. Klicken Sie im Startmenü auf Ausführen. Geben Sie mmc ein und drücken Sie die EIN-
GABETASTE . Bestätigen Sie die UAC-Eingabeaufforderung, die daraufhin angezeigt
wird.
3. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen.
4. Klicken Sie auf Hinzufügen.
Eine Liste aller registrierten Snap-Ins auf dem aktuellen Computer wird angezeigt.
5. Klicken Sie doppelt auf das Snap-In Zertifikate.
6. Falls der Assistent Zertifikat-Snap-In erscheint, müssen Sie die Option Eigenes Benutzer-
konto auswählen und dann auf Fertig stellen klicken. Klicken Sie auf OK.
Die Konsole zeigt jetzt das Snap-In Zertifikate an.
7. Erweitern Sie die Knoten Zertifikate – Aktueller Benutzer und Eigene Zertifikate, und
wählen Sie Zertifikate aus. Klicken Sie in der Detailansicht mit der rechten Maustaste
auf das Domänen-DRA-Zertifikat, dann auf Alle Aufgaben und auf Exportieren (Abbil-
dung 4.12). In der Standardeinstellung ist dies das Administratorzertifikat, das auch vom
Administrator signiert wurde. Als beabsichtigter Zweck ist die Dateiwiederherstellung
eingetragen.
174 Kapitel 4: Sicherheit

Abbildung 4.12 Exportieren eines Zertifikats für die EFS-Wiederherstellung

8. Klicken Sie im Zertifikatexport-Assistenten auf Weiter.


9. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel
exportieren aus und klicken Sie auf Weiter.
10. Übernehmen Sie auf der Seite Exportdateiformat die in Abbildung 4.13 gezeigten Stan-
dardeinstellungen und klicken Sie auf Weiter. Aus Sicherheitsgründen sollten Sie das
Kontrollkästchen Privaten Schlüssel nach erfolgreichem Export löschen aktivieren, den
privaten Schlüssel auf einem Wechseldatenträger abspeichern und den Datenträger an
einem sicheren Ort aufbewahren. Dann können Sie diesen Wechseldatenträger ver-
wenden, wenn Sie eine EFS-verschlüsselte Datei wiederherstellen müssen.

Abbildung 4.13 Verwenden des .pfx-Dateiformats für den DRA-Wiederherstellungsschlüssel


Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 175

11. Geben Sie auf der Seite Kennwort zweimal das Wiederherstellungskennwort ein. Klicken
Sie auf Weiter.
12. Geben Sie auf der Seite Exportdatei den Namen einer Datei auf einem Wechseldaten-
träger ein, in der das kennwortgeschützte Zertifikat gespeichert wird. Klicken Sie auf
Weiter.
13. Klicken Sie auf der Seite Fertigstellen des Assistenten des Zertifikatexport-Assistenten
auf Fertig stellen. Klicken Sie zuletzt auf OK.
Jetzt ist alles bereit, um den DRA-Schlüssel auf dem Clientcomputer zu importieren, auf
dem Sie eine Wiederherstellung durchführen wollen. Melden Sie sich am Clientcomputer an
und gehen Sie folgendermaßen vor:
1. Klicken Sie im Startmenü auf Ausführen. Geben Sie mmc ein und drücken Sie die
EINGABETASTE .
2. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen. Bestätigen Sie die
UAC-Eingabeaufforderung, die daraufhin angezeigt wird.
3. Klicken Sie auf Hinzufügen.
Eine Liste aller registrierten Snap-Ins auf dem aktuellen Computer wird angezeigt.
4. Klicken Sie doppelt auf das Snap-In Zertifikate.
5. Wählen Sie im Assistenten Zertifikat-Snap-In die Option Eigenes Benutzerkonto aus und
klicken Sie auf Fertig stellen. Klicken Sie auf OK.
Die Konsole zeigt nun das Snap-In Zertifikate an.
6. Erweitern Sie die Knoten Zertifikate – Aktueller Benutzer und Eigene Zertifikate, klicken
Sie mit der rechten Maustaste auf Zertifikate und wählen Sie den Befehl Importieren.
7. Klicken Sie im Zertifikatimport-Assistenten auf Weiter.
8. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen. Klicken Sie im Dia-
logfeld Öffnen in die Dropdownliste für die Dateitypen (über der Schaltfläche Öffnen)
und wählen Sie den Eintrag Privater Informationsaustausch aus. Wählen Sie dann die
DRA-Schlüsseldatei aus und klicken Sie auf Öffnen. Klicken Sie auf Weiter.
9. Geben Sie auf der Seite Kennwort das Kennwort ein, mit dem Sie den DRA-Schlüssel
geschützt haben. Klicken Sie auf Weiter.
10. Behalten Sie auf der Seite Zertifikatspeicher die Standardauswahl bei, damit das Zertifi-
kat im Speicher »Eigene Zertifikate« gespeichert wird. Klicken Sie auf Weiter.
11. Klicken Sie auf Fertig stellen und dann auf OK.
Nun können Sie die Dateien öffnen oder entschlüsseln, genau so, als wären Sie als autori-
sierter Benutzer hinzugefügt worden. Sie können die Dateien entschlüsseln, indem Sie das
Eigenschaftendialogfeld der Datei oder des Ordners öffnen und das Kontrollkästchen Inhalt
verschlüsseln, um Daten zu schützen deaktivieren. Wenn Sie zweimal auf OK geklickt haben,
entschlüsselt Windows die Dateien mit dem DRA-Schlüssel. Jetzt liegen die Dateien unver-
schlüsselt vor. Der Benutzer, dem diese Dateien gehören, sollte sie unverzüglich neu ver-
schlüsseln.
176 Kapitel 4: Sicherheit

Tipp Entschlüsseln wiederhergestellter Dateien


Wenn Sie das Windows-Sicherungsprogramm verwenden, bleiben Dateien, die von Siche-
rungsmedien wiederhergestellt wurden, mit EFS verschlüsselt. Sie können sie entschlüsseln,
indem Sie die Dateien auf einem Computer wiederherstellen und dann den DRA bitten, sich
auf diesem Computer anzumelden.

Sobald Sie die Dateien wiederhergestellt haben, sollten Sie alle Kopien Ihres DRA-Schlüs-
sels entfernen. Weil der DRA alle Dateien in Ihrer Domäne entschlüsseln kann, ist es wichtig,
dass keinesfalls eine Schlüsselkopie auf dem Computer eines Benutzers verbleibt.

BitLocker
NTFS-Dateiberechtigungen stellen die Zugriffssteuerung bereit, während das Betriebssys-
tem läuft. EFS ergänzt NTFS-Dateiberechtigungen mithilfe von Verschlüsselung, sodass die
Zugriffssteuerung sogar wirksam ist, falls ein Angreifer das Betriebssystem umgeht (indem
er zum Beispiel den Computer von einer startfähigen DVD startet). Die BitLocker-Lauf-
werkverschlüsselung arbeitet wie EFS mit Verschlüsselung. Aber BitLocker unterscheidet
sich in wichtigen Punkten von EFS:
„ BitLocker verschlüsselt gesamte Volumes, beispielsweise das Systemvolume, mit allen
Benutzer- und Systemdateien. EFS kann keine Systemdateien verschlüsseln.
„ BitLocker schützt den Computer beim Systemstart, noch bevor das Betriebssystem startet.
Sobald das Betriebssystem gestartet wurde, arbeitet BitLocker völlig transparent.
„ BitLocker bietet computerspezifische Verschlüsselung, keine benutzerspezifische Ver-
schlüsselung. Daher brauchen Sie zusätzlich EFS, wenn Sie vertrauliche Dateien vor
anderen gültigen Benutzern schützen wollen.
„ BitLocker kann die Integrität des Betriebssystems schützen. Es hilft, Rootkits und Off-
lineangriffe abzuwehren, die Systemdateien manipulieren.

Hinweis Editionen von Windows 7, die BitLocker enthalten


BitLocker ist ein Feature von Windows 7 Enterprise und Windows 7 Ultimate. In anderen
Editionen von Windows 7 wird es nicht unterstützt.

Auf älteren Windows-Versionen mussten Administratoren die BitLocker-Partitionen von


Hand konfigurieren. In Windows 7 konfiguriert das Setup die Partitionen automatisch so,
dass sie zu BitLocker kompatibel sind.

Verwenden von BitLocker mit TPM-Hardware


Steht ein TPM 1.2-Chip (Trusted Platform Module) zur Verfügung (was auf einigen neueren
Computermodellen der Fall ist), versiegelt BitLocker den symmetrischen Verschlüsselungs-
schlüssel in diesem Chip. Hat der Computer keinen TPM-Chip, speichert BitLocker den
Verschlüsselungsschlüssel auf einem USB-Flashlaufwerk, das jedes Mal, wenn der Com-
puter startet oder aus dem Ruhezustand aufwacht, eingesteckt werden muss.
Bei vielen Computern, die mit TPM ausgerüstet sind, ist der TPM-Chip im BIOS (Basic
Input/Output System) deaktiviert. Bevor Sie TPM verwenden können, müssen Sie in einem
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 177

solchen Fall die BIOS-Einstellungen des Computers öffnen und darin TPM aktivieren. Sobald
Sie den TPM-Chip aktiviert haben, führt BitLocker die TPM-Initialisierung automatisch
durch. Damit Sie TPM-Chips von Hand initialisieren und auf Betriebssystemebene an- und
ausschalten können, stellt Windows 7 das Snap-In TPM-Verwaltung zur Verfügung (Abbil-
dung 4.14). Sie können es benutzen, indem Sie ein leeres MMC-Fenster öffnen und dieses
Snap-In hinzufügen.

Abbildung 4.14 Im Snap-In TPM-Verwaltung können Sie ein TPM von Hand initialisieren

Hinweis BitLocker initialisiert ein TPM automatisch


Weil BitLocker die TPM-Initialisierung für Sie erledigt, wird das Snap-In TPM-Verwaltung
in diesem Buch nicht weiter behandelt.

BitLocker stellt auf Computern mit TPM-Hardware unterschiedliche Modi zur Verfügung:
„ Nur TPM Dieser Modus ist für den Benutzer transparent, die Benutzeranmeldung
sieht genauso aus wie vor der Aktivierung von BitLocker. Beim Start kommuniziert Bit-
Locker mit der TPM-Hardware, um die Integrität des Computers und des Betriebssys-
tems zu überprüfen. Falls das TPM fehlt oder geändert wurde, die Festplatte in einen
anderen Computer eingebaut oder wichtige Startdateien geändert wurden, geht BitLocker
in den Wiederherstellungsmodus. Im Wiederherstellungsmodus muss der Benutzer einen
40 Stellen langen Wiederherstellungsschlüssel eingeben oder ein USB-Flashlaufwerk
mit einem darauf gespeicherten Wiederherstellungsschlüssel einstecken, um Zugriff auf
die Daten zu bekommen. Der Nur-TPM-Modus bietet Schutz gegen Festplattendiebstahl,
ohne dass die Benutzer speziell geschult werden müssen.
„ TPM mit externem Schlüssel In diesem Modus führt BitLocker dieselben Integritäts-
prüfungen wie im Nur-TPM-Modus durch, der Benutzer muss aber einen externen
Schlüssel bereitstellen, um Windows starten zu können. (Der externe Schlüssel ist üb-
licherweise ein USB-Flashlaufwerk, auf dem ein Zertifikat gespeichert ist). Dies bietet
Schutz gegen Festplattendiebstahl und den Diebstahl des gesamten Computers (sofern
der Computer heruntergefahren oder gesperrt war). Für den Benutzer ist aber ein ge-
wisser Aufwand erforderlich.
178 Kapitel 4: Sicherheit

„ TPM mit PIN In diesem Modus muss der Benutzer eine PIN eingeben, um Windows
zu starten.
„ TPM mit PIN und externem Schlüssel In diesem Modus muss der Benutzer einen
externen Schlüssel bereitstellen und eine PIN eingeben.
Wenn TPM-Hardware zur Verfügung steht, überprüft BitLocker die Integrität des Computers
und des Betriebssystems, indem es »Messwerte« für verschiedene Teile des Computers und
Betriebssystems im TPM-Chip speichert. In seiner Standardkonfiguration weist BitLocker
das TPM an, den Master Boot Record, die aktive Startpartition, den Startsektor, den Win-
dows-Start-Manager und den BitLocker-Speicherungsstammschlüssel zu messen. Jedes Mal,
wenn der Computer gestartet wird, berechnet das TPM den SHA-1-Hash des gemessenen
Codes und vergleicht ihn mit dem Hashwert, der beim letzten Start im TPM gespeichert
wurde. Stimmen die Hashwerte überein, wird der Startprozess fortgesetzt. Stimmen die
Hashwerte nicht überein, wird der Startprozess angehalten. Am Ende eines erfolgreichen
Startprozesses gibt das TPM den Speicherungsstammschlüssel (engl. storage root key) für
BitLocker frei. BitLocker entschlüsselt die Daten, während Windows sie vom geschützten
Volume liest. Weil kein anderes Betriebssystem dies tun kann (nicht einmal eine andere
Instanz von Windows 7), gibt das TPM niemals den Schlüssel heraus. Das Volume bleibt
daher verschlüsselt und für Angreifer völlig nutzlos. Jeder Versuch, das geschützte Volume
zu manipulieren, bewirkt, dass es nicht mehr startfähig ist.

Aktivieren von BitLocker auf Computern ohne TPM


Ist keine TPM-Hardware verfügbar, kann BitLocker Entschlüsselungsschlüssel statt in einem
eingebauten TPM-Modul auch auf einem USB-Flashlaufwerk speichern. Es ist allerdings
gefährlich, BitLocker in dieser Konfiguration zu betreiben. Falls der Benutzer das USB-
Flashlaufwerk verliert, kann auf das verschlüsselte Volume nicht mehr zugegriffen werden
und der Computer kann ohne den Wiederherstellungsschlüssel nicht starten. Windows 7
stellt diese Option daher nicht standardmäßig zur Verfügung.
Wenn Sie die BitLocker-Verschlüsselung auf einem Computer ohne kompatibles TPM be-
nutzen wollen, müssen Sie eine Einstellung in den Computergruppenrichtlinien ändern.
Gehen Sie dazu folgendermaßen vor:
1. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor, indem Sie im Startmenü
gpedit.msc eingeben und die EINGABETASTE drücken. Bestätigen Sie die UAC-
Eingabeaufforderung, die daraufhin angezeigt wird.
2. Erweitern Sie die Knoten Computerkonfiguration, Administrative Vorlagen, Windows-
Komponenten, BitLocker-Laufwerkverschlüsselung und wählen Sie den Knoten Betriebs-
systemlaufwerke aus.
3. Aktivieren Sie die Richtlinie Zusätzliche Authentifizierung beim Start erforderlich und
aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen. Klicken
Sie auf OK.
Wenn Sie BitLocker in einem Großunternehmen bereitstellen und dabei statt TPM USB-
Flashlaufwerke einsetzen wollen, sollten Sie diese Einstellung in einer Domänen-Gruppen-
richtlinieneinstellung vornehmen.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 179

Aktivieren der BitLocker-Verschlüsselung


Einzelne Benutzer können BitLocker in der Systemsteuerung aktivieren, aber die meisten
Unternehmen sollten Schlüssel mithilfe von AD DS verwalten.

Weitere Informationen AD DS so konfigurieren, dass BitLocker gesichert wird


Eine ausführliche Anleitung, wie Sie AD DS so konfigurieren, dass BitLocker- und TPM-
Wiederherstellungsinformationen gesichert werden, finden Sie in »Configuring AD DS to
Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery
Information« unter der Adresse http://go.microsoft.com/fwlink/?LinkId=78953.

Gehen Sie folgendermaßen vor, um BitLocker über die Systemsteuerung zu aktivieren:


1. Führen Sie eine vollständige Datensicherung des Computers durch. Überprüfen Sie dann
die Integrität der BitLocker-Partition, indem Sie ChkDsk ausführen.
2. Öffnen Sie die Systemsteuerung. Klicken Sie auf den Link System und Sicherheit. Klicken
Sie unter BitLocker-Laufwerkverschlüsselung auf den Link Computer durch Verschlüs-
seln von Daten auf dem Datenträger schützen.
3. Klicken Sie auf der Seite BitLocker-Laufwerkverschlüsselung auf BitLocker aktivieren.
4. Klicken Sie auf der Seite Setup der BitLocker-Laufwerkverschlüsselung auf Weiter.
5. Klicken Sie auf Weiter, falls die Seite Laufwerk für BitLocker vorbereiten angezeigt
wird. Starten Sie den Computer neu, sofern Sie dazu aufgefordert werden.
6. Klicken Sie auf Weiter, falls die Seite TPM-Sicherheitshardware aktivieren angezeigt
wird. Klicken Sie anschließend auf Neu starten.

Abbildung 4.15 Systemstarteinstellungen in BitLocker

7. Wenn es sich bei dem Volume um das Systemvolume handelt und diese Möglichkeit
nicht durch eine Gruppenrichtlinieneinstellung verboten ist, können Sie nun im Dialog-
feld BitLocker-Systemstarteinstellungen festlegen (Abbildung 4.15) die gewünschte
180 Kapitel 4: Sicherheit

Authentifizierungsmethode wählen. Welche Optionen hier zur Verfügung stehen, hängt


davon ab, ob der Computer einen TPM-Chip eingebaut hat.
Es stehen folgende Möglichkeiten zur Auswahl:
„ BitLocker ohne zusätzliche Schlüssel verwenden Die Integrität des Betriebssys-
tems wird bei jedem Systemstart mit dem TPM überprüft. Bei dieser Option wird der
Benutzer während des Systemstarts nicht aufgefordert, etwas einzugeben. Der Schutz
funktioniert völlig transparent.
„ Bei jedem Start PIN anfordern Die Integrität des Betriebssystems wird bei jedem
Systemstart mit dem TPM überprüft, und der Benutzer muss eine PIN eingeben,
damit seine Identität überprüft wird. Diese Option bietet zusätzlichen Schutz, kann
aber für den Benutzer unbequem sein. Wenn Sie eine PIN verwenden, öffnet sich die
Seite Systemstart-PIN eingeben. Geben Sie dort Ihre PIN ein und klicken Sie auf
PIN festlegen.
„ Bei jedem Start Systemstartschlüssel anfordern Es wird keine TPM-Hardware
benötigt. Bei dieser Option muss der Benutzer beim Systemstart einen USB-Stick
anschließen, der den Entschlüsselungsschlüssel enthält. Stattdessen können die Be-
nutzer auch einen Wiederherstellungsschlüssel eingeben, um Zugriff auf die ver-
schlüsselte Systempartition zu bekommen. Wenn Sie einen USB-Stick verwenden
wollen, wird die Seite Systemstartschlüssel speichern geöffnet. Wählen Sie den
Systemstartschlüssel aus und klicken Sie dann auf Speichern.

Hinweis Verwenden einer Kombination aus USB-Stick und PIN


Sie können im BitLocker-Assistenten wählen, ob Sie entweder eine PIN oder einen
USB-Stick mit Systemstartschlüssel verwenden wollen. Wollen Sie die beiden Methoden
kombinieren, müssen Sie das Befehlszeilentool Manage-bde verwenden. Führen Sie
beispielsweise den Befehl manage-bde -protectors -add C: -TPMAndPINAndStartupKey -tsk E:
aus, um das Laufwerk C:\ durch eine PIN und einen Startschlüssel zu schützen, der auf
dem Laufwerk E:\ liegt.

8. Wählen Sie auf der Seite Wiederherstellungskennwort speichern das Ziel aus (ein USB-
Laufwerk, einen lokalen oder Remoteordner oder einen Drucker), in dem Sie Ihr Wie-
derherstellungskennwort speichern wollen. Das Wiederherstellungskennwort ist eine
kleine Textdatei mit einer knappen Anleitung, einer Laufwerksbezeichnung, der Kenn-
wort-ID und dem 48-stelligen Wiederherstellungskennwort. Speichern Sie das Kennwort
und den Wiederherstellungsschlüssel auf unterschiedlichen Geräten und bewahren Sie
sie an getrennten Orten auf. Klicken Sie auf Weiter.
9. Aktivieren Sie auf der Seite Volume verschlüsseln das Kontrollkästchen Bitlocker-Sys-
temüberprüfung ausführen und klicken Sie auf Fortsetzen, wenn Sie mit der Verschlüs-
selung beginnen wollen. Klicken Sie auf Jetzt neu starten. Beim Neustart stellt BitLocker
sicher, dass der Computer vollständig kompatibel ist und alles für die Verschlüsselung
bereit ist.
10. BitLocker zeigt einen speziellen Bildschirm an, auf dem bestätigt wird, dass der Schlüs-
sel geladen wurde. Nachdem dies bestätigt wurde, beginnt BitLocker damit, das Lauf-
werk C zu verschlüsseln, sobald Windows 7 gestartet wurde. Damit ist BitLocker akti-
viert.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 181

BitLocker verschlüsselt das Laufwerk im Hintergrund, sodass Sie mit dem Computer weiter-
arbeiten können.

Verwalten von BitLocker-Schlüsseln auf einem lokalen Computer


Gehen Sie folgendermaßen vor, um Schlüssel auf dem lokalen Computer zu verwalten:
1. Öffnen Sie die Systemsteuerung und klicken Sie auf den Link System und Sicherheit.
Klicken Sie unter BitLocker-Laufwerkverschlüsselung auf den Link BitLocker-Schlüssel
verwalten.
2. Klicken Sie im Fenster BitLocker-Laufwerkverschlüsselung auf BitLocker-Schlüssel
verwalten.
Mit diesem Tool können Sie folgende Aktionen ausführen (abhängig vom ausgewählten
Authentifizierungstyp):
„ Wiederherstellungsschlüssel erneut speichern oder drucken Hier stehen folgende
Optionen zur Verfügung:
† Wiederherstellungsschlüssel auf einem USB-Flashlaufwerk speichern
† Wiederherstellungsschlüssel in Datei speichern
† Wiederherstellungsschlüssel drucken
„ Systemstartschlüssel kopieren Wenn Sie einen USB-Systemstartschlüssel für die
Authentifizierung verwenden, können Sie hier einen zweiten USB-Systemstartschlüssel
mit demselben Schlüssel anlegen.
„ PIN zurücksetzen Wenn Sie eine PIN für die Authentifizierung verwenden, können
Sie hier die PIN ändern.
Mit dem Tool Manage-bde können Sie BitLocker in einer Eingabeaufforderung mit erhöhten
Rechten oder von einem Remotecomputer aus verwalten. Dieses Tool ersetzt das Skript
Manage-bde.wsf aus Windows Vista. Zum Beispiel zeigt der Befehl manage-bde -status die
aktuelle BitLocker-Konfiguration an. Das folgende Beispiel zeigt, wie Sie einen Computer
mit einem unverschlüsselten Datenlaufwerk und einem verschlüsselten Systemlaufwerk
konfigurieren:
manage-bde -status
BitLocker-Laufwerkverschlüsselung: Konfigurationstoolversion 6.1.7600
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.
Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung
geschützt werden können:
Volume "E:" [Flash]
[Datenvolume]
Größe: 0,12 GB
BitLocker-Version: None
Konvertierungsstatus: Vollständig entschlüsselt
Verschlüsselt (Prozent): 0 %
Verschlüsselungsmethode: Kein
Schutzstatus: Der Schutz ist deaktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Kein
Schlüsselschutzvorrichtungen: Keine gefunden
182 Kapitel 4: Sicherheit

Volume "C:" []
[Betriebssystemvolume]
Größe: 126,90 GB
BitLocker-Version: Windows 7
Konvertierungsstatus: Vollständig verschlüsselt
Verschlüsselt (Prozent): 100 %
Verschlüsselungsmethode: AES 128 mit Diffuser
Schutzstatus: Der Schutz ist aktiviert
Sperrungsstatus: Entsperrt
ID-Feld: Kein
Schlüsselschutzvorrichtungen:
Externer Schlüssel
Numerisches Kennwort
Ausführliche Informationen über die Benutzung von Manage-bde erhalten Sie, indem Sie in
einer Eingabeaufforderung den Befehl manage-bde -? ausführen.

Wiederherstellen von Daten, die mit BitLocker geschützt werden


Wenn Sie BitLocker einsetzen, um die Systempartition zu schützen, wird diese Partition
gesperrt, falls der Verschlüsselungsschlüssel nicht verfügbar ist. Daraufhin wechselt Bit-
Locker in den Wiederherstellungsmodus. Einige Gründe, warum der Verschlüsselungs-
schlüssel möglicherweise nicht verfügbar ist:
„ Eine der Startdateien wurde verändert.
„ Das BIOS wurde geändert und das TPM deaktiviert.
„ Das TPM wurde gelöscht.
„ Es wurde versucht, ohne TPM, PIN oder USB-Stick zu starten.
„ Das BitLocker-verschlüsselte Laufwerk wurde in einen neuen Computer eingebaut.

Abbildung 4.16 Sie erhalten Zugriff auf ein BitLocker-verschlüsseltes Laufwerk,


indem Sie ein 48-stelliges Wiederherstellungskennwort eingeben
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 183

Wenn das Laufwerk gesperrt wurde, können Sie nur im Wiederherstellungsmodus starten
(Abbildung 4.16). Auf den meisten Tastaturen können Sie die normalen Zifferntasten 0 bis 9
verwenden. Auf manchen Tastaturbelegungen müssen Sie allerdings die Funktionstasten
verwenden, also F1 für die Ziffer 1 drücken, F2 für die Ziffer 2 und so weiter bis F10 für
die Ziffer 0.
Wenn Sie den Wiederherstellungsschlüssel auf einem USB-Flashlaufwerk gespeichert haben,
können Sie ihn einlegen und die ESC -Taste drücken, um den Computer neu zu starten. Bit-
Locker liest den Wiederherstellungsschlüssel automatisch beim Systemstart.
Falls Sie die Wiederherstellung abbrechen, zeigt der Windows-Start-Manager eine Anleitung
an, wie Sie ein Startproblem mit der Systemstartreparatur automatisch beseitigen können.
Folgen Sie nicht diesen Anleitungen, die Systemstartreparatur kann nicht auf das verschlüs-
selte Volume zugreifen. Starten Sie stattdessen den Computer neu und geben Sie den Wieder-
herstellungsschlüssel ein.
Als letzten Ausweg können Sie das BitLocker-Reparaturtool (Repair-bde) verwenden, um
Daten von einem verschlüsselten Volume wiederherzustellen. In älteren Windows-Versionen
musste das BitLocker-Reparaturtool separat heruntergeladen werden, in Windows 7 und
Windows Server 2008 R2 ist es dagegen schon enthalten.
Mit dem BitLocker-Reparaturtool können Sie den entschlüsselten Inhalt eines verschlüssel-
ten Volumes auf ein anderes Volume kopieren. Nehmen wir an, Sie haben mit BitLocker das
Datenvolume D:\ geschützt, dieses Volume wurde aber beschädigt. Sie möchten nun mit
dem BitLocker-Reparaturtool seinen Inhalt entschlüsseln und auf das Volume E:\ kopieren.
Den Wiederherstellungsschlüssel beziehungsweise das Kennwort haben Sie zur Verfügung.
Der folgende Befehl erledigt diese Aufgabe:
repair-bde D: E: -RecoveryPassword 111111-222222-333333-444444-5555555-6666666-7777777-
888888
Sie können auch versuchen, ein Volume zu reparieren, ohne seine Daten zu kopieren. Ver-
wenden Sie dazu das Argument -NoOutputVolume, wie im folgenden Befehl gezeigt:
repair-bde C: -NoOutputVolume -RecoveryKey D:\RecoveryKey.bek
Ist das Systemvolume beschädigt, können Sie Windows 7-Setup von der Windows 7-DVD
starten, die Reparaturtools ausführen und eine Eingabeaufforderung öffnen, um darin das
BitLocker-Reparaturtool zu starten. Stattdessen können Sie auch versuchen, das Volume auf
einem anderen Computer im Dateisystem bereitzustellen und dort das BitLocker-Reparatur-
tool auszuführen.

Hinweis Sichern verschlüsselter Laufwerke


Weil es unter Umständen schwierig oder sogar unmöglich ist, ein BitLocker-geschütztes
Laufwerk wiederherstellen, nachdem es beschädigt wurde, ist es besonders wichtig, dass Sie
alle BitLocker-geschützten Laufwerke regelmäßig sichern. Beachten Sie aber, dass Ihre
Datensicherungen unter Umständen nicht standardmäßig verschlüsselt sind. Das gilt auch
für die Systemabbildsicherung. Die Systemabbildsicherung legt zwar eine Kopie Ihres ge-
samten Datenträgers an, aber BitLocker arbeitet auf einer niedrigeren Ebene als die System-
abbildsicherung. Wenn die Systemabbildsicherung den Datenträger liest, bekommt sie die
von BitLocker bereits entschlüsselte Version des Datenträgers.
184 Kapitel 4: Sicherheit

Deaktivieren oder Entfernen der BitLocker-Laufwerkverschlüsselung


Weil BitLocker den Systemstartprozess abfängt und nach Änderungen in allen Startdateien
sucht, können in einigen Fällen Probleme auftreten, auch wenn es sich nicht um einen
Angriff handelt:
„ Motherboard oder TPM wurde aufgerüstet oder ersetzt.
„ Es wurde ein neues Betriebssystem installiert, das den Master Boot Record oder den
Start-Manager ändert.
„ Ein BitLocker-verschlüsseltes Laufwerk wurde in einen anderen TPM-fähigen Computer
eingebaut.
„ Die Festplatte wurde neu partitioniert.
„ Das BIOS wurde aktualisiert.
„ Fremdherstellerupdates wurden außerhalb des Betriebssystems durchgeführt (zum
Beispiel Firmwareupdates).
Um nicht im BitLocker-Wiederherstellungsmodus zu landen, können Sie BitLocker kurz-
zeitig deaktivieren, um das TPM auszutauschen oder ein Betriebssystemupgrade durchzu-
führen. Wenn Sie BitLocker wieder aktivieren, wird derselbe Verschlüsselungsschlüssel
benutzt. Sie können auch einstellen, dass das BitLocker-geschützte Volume entschlüsselt
wird. Dann wird der BitLocker-Schutz vollständig entfernt. Sie können BitLocker danach
nur wieder aktivieren, indem Sie neue Schlüssel erstellen und das Volume neu verschlüsseln.
Gehen Sie folgendermaßen vor, um BitLocker temporär zu deaktivieren oder das BitLocker-
geschützte Volume dauerhaft zu entschlüsseln:
1. Melden Sie sich als Administrator am Computer an.
2. Öffnen Sie in der Systemsteuerung die BitLocker-Laufwerkverschlüsselung.
3. Klicken Sie neben dem Volume, für das BitLocker aktiviert ist, auf Schutz anhalten, um
einen leeren Schlüssel zu verwenden. Oder klicken Sie auf BitLocker deaktivieren, um
BitLocker ganz auszuschalten.

Problembehandlung für BitLocker


Etliche häufige BitLocker-Probleme sind eigentlich »Features«. Die Probleme treten auf,
weil BitLocker mit dem Ziel entworfen wurde, Schutz vor bestimmten Angriffsarten zu
gewährleisten. Oft ähneln normale Operationen solchen Angriffen, daher weigert sich
BitLocker, den Computer starten zu lassen, oder die BitLocker-Verschlüsselung gibt Ihnen
keinen Zugriff auf die Dateien mehr:
„ Das Betriebssystem startet in einer Dual-Boot-Konfiguration nicht mehr Sie kön-
nen in einem Computer eine Dual-Boot-Konfiguration verwenden, nachdem Sie Bit-
Locker aktiviert haben. Aber die zweite Betriebssysteminstanz muss auf einer anderen
Partition konfiguriert sein. Sie können kein zweites Betriebssystem verwenden, das auf
derselben Partition installiert ist.
„ Das Betriebssystem startet nicht, nachdem Sie die Festplatte in einen anderen
Computer eingebaut haben BitLocker soll Daten vor Offlineangriffen schützen, die
beispielsweise die Betriebssystemsicherheit dadurch umgehen, dass die Festplatte an
einen anderen Computer angeschlossen wird. Der neue Computer kann die Daten dann
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 185

nicht entschlüsseln (nicht einmal, wenn er einen TPM-Chip hat). Bevor Sie eine Bit-
Locker-verschlüsselte Festplatte in einen anderen Computer einbauen, müssen Sie
BitLocker deaktivieren. Sobald Sie die Festplatte in den anderen Computer eingebaut
haben, können Sie BitLocker wieder aktivieren. Stattdessen können Sie Windows auch
mit dem Wiederherstellungsschlüssel starten, nachdem Sie die Festplatte in den neuen
Computer eingebaut haben.
„ Die Daten auf der Festplatte lassen sich mit den Standarddatenträgerwiederher-
stellungstools nicht lesen Aus den Gründen, die im letzten Punkt beschrieben wurden,
können BitLocker-Dateien nicht mit den Standarddatenträgerwiederherstellungstools
gelesen werden. Eines Tages gibt es wahrscheinlich Wiederherstellungstools, die die
Möglichkeit bieten, BitLocker-Dateien mit dem Wiederherstellungsschlüssel zu ent-
schlüsseln. Als dieses Buch geschrieben wurde, bestand die einzige Möglichkeit zum
Wiederherstellen BitLocker-verschlüsselter Dateien darin, Windows 7 mit dem Bit-
Locker-Wiederherstellungsschlüssel zu starten. Aus diesem Grund ist es besonders
wichtig, BitLocker-verschlüsselte Volumes regelmäßig zu sichern.

Übung Verschlüsseln von Dateien und Wiederherstellen


verschlüsselter Daten
In dieser Übung simulieren Sie die Wiederherstellung eines verlorenen EFS-Verschlüsse-
lungszertifikats.

Übung 1 Verschlüsseln von Daten


In dieser Übung verschlüsseln Sie eine Datei. Windows 7 generiert automatisch einen EFS-
Schlüssel, sofern Sie noch keinen haben.
1. Melden Sie sich als Standardbenutzer an einem Windows 7-Computer an.
2. Erstellen Sie in Ihrem Dokumente-Ordner eine Datei namens Encrypted.txt.
3. Klicken Sie mit der rechten Maustaste auf die Datei Encrypted.txt und wählen Sie den
Befehl Eigenschaften.
4. Klicken Sie auf der Registerkarte Allgemein im Eigenschaftendialogfeld auf die Schalt-
fläche Erweitert.
5. Aktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen und
klicken Sie auf OK. Klicken Sie erneut auf OK.
6. Wählen Sie im Dialogfeld Verschlüsselungswarnung die Option Nur Datei verschlüsseln
aus und klicken Sie auf OK.
Der Windows-Explorer zeigt die Datei Encrypted.txt jetzt in grüner Farbe an.
7. Klicken Sie doppelt auf die Datei Encrypted.txt, um sie im Editor zu öffnen. Fügen Sie
den Text »Diese Datei ist verschlüsselt« ein. Speichern Sie die Datei und schließen Sie
den Editor.
8. Klicken Sie doppelt auf die Datei, um sicherzustellen, dass Sie sie öffnen können, und
schließen Sie den Editor wieder.
Sie haben nun eine verschlüsselte Datei, auf die kein Benutzer ohne Ihren EFS-Schlüssel
zugreifen kann.
186 Kapitel 4: Sicherheit

Übung 2 Sichern eines EFS-Schlüssels


In Übung 1 haben Sie eine Datei verschlüsselt. In dieser Übung sichern Sie den EFS-Schlüs-
sel, der automatisch generiert wurde, als Sie die Datei verschlüsselt haben. Dann löschen Sie
den Originalschlüssel und überprüfen, ob Sie auf die EFS-verschlüsselte Datei zugreifen
können. Um diese Übung durcharbeiten zu können, müssen Sie Übung 1 abgeschlossen
haben.
1. Klicken Sie im Startmenü auf Systemsteuerung.
2. Klicken Sie zweimal auf den Link Benutzerkonten.
3. Klicken Sie im linken Fensterabschnitt auf den Link Dateiverschlüsselungszertifikate
verwalten.
Der Assistent Verschlüsselndes Dateisystem wird geöffnet.
4. Klicken Sie auf der Seite Verwalten Sie die Zertifikate zur Dateiverschlüsselung auf
Weiter.
5. Lassen Sie auf der Seite Ein Dateiverschlüsselungszertifikat auswählen oder erstellen
die Standardoption ausgewählt, um Ihr eigenes EFS-Zertifikat zu verwenden, und
klicken Sie dann auf Weiter.
6. Klicken Sie auf der Seite Schlüssel und Zertifikat sichern auf die Schaltfläche Durch-
suchen und wählen Sie den Ordner Dokumente aus. Geben Sie als Dateinamen EFS-
cert-backup.pfx ein und klicken Sie auf Speichern. Geben Sie ein komplexes Kennwort
in die Felder Kennwort und Kennwort bestätigen ein. Klicken Sie auf Weiter.
7. Falls die Seite Bereits verschlüsselte Dateien aktualisieren angezeigt wird, können Sie
alle Kontrollkästchen deaktiviert lassen. Klicken Sie dann auf Weiter.
8. Klicken Sie auf der Seite Das Zertifikat und der Schlüssel wurden gesichert auf Schlie-
ßen.
9. Öffnen Sie im Windows-Explorer Ihren Dokumente-Ordner und stellen Sie sicher, dass
das EFS-Zertifikat richtig exportiert wurde.
Da Sie Ihren EFS-Schlüssel gesichert haben, ist es keine Katastrophe mehr, wenn Sie ihn
verlieren. Im Folgenden simulieren Sie einen beschädigten oder verlorenen Schlüssel,
indem Sie ihn löschen:
10. Geben Sie im Suchfeld des Startmenüs den Befehl mmc ein und drücken Sie die EIN-
GABETASTE , um ein leeres Microsoft Management Console-Fenster zu öffnen.
11. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen.
12. Wählen Sie Zertifikate aus und klicken Sie auf Hinzufügen. Klicken Sie auf OK.
13. Wählen Sie Eigenes Benutzerkonto aus und klicken Sie auf Fertig stellen.
14. Klicken Sie auf OK.
15. Erweitern Sie die Knoten Zertifikate – Aktueller Benutzer und Eigene Zertifikate und
wählen Sie Zertifikate aus.
16. Klicken Sie im mittleren Fensterabschnitt mit der rechten Maustaste auf Ihr EFS-Zerti-
fikat und wählen Sie den Befehl Löschen.
17. Klicken Sie im Dialogfeld Zertifikate auf Ja, um zu bestätigen, dass Sie das Zertifikat
löschen wollen.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 187

18. Melden Sie sich von der aktuellen Desktopsitzung ab und wieder an. Windows 7 legt das
EFS-Zertifikat des Benutzers in einem Zwischenspeicher ab. Solange Sie also angemel-
det bleiben, können Sie Ihre verschlüsselte Datei weiterhin öffnen.
19. Öffnen Sie den Ordner Dokumente und klicken Sie doppelt auf die Datei Encrypted.txt.
Der Editor müsste sich öffnen und die Fehlermeldung »Zugriff verweigert« anzeigen.
Das zeigt, dass die Datei verschlüsselt ist, Sie aber nicht über ein gültiges EFS-Zertifikat
verfügen.

Übung 3 Wiederherstellen verschlüsselter Daten


In dieser Übung stellen Sie einen verlorenen EFS-Schlüssel wieder her und greifen damit
auf verschlüsselte Daten zu. Um diese Übung durcharbeiten zu können, müssen Sie die
Übungen 1 und 2 abgeschlossen haben.
1. Klicken Sie im Ordner Dokumente doppelt auf die Datei EFS-cert-backup.pfx, die Sie in
Übung 2 erstellt haben.
Der Zertifikatimport-Assistent wird geöffnet.
2. Klicken Sie auf der Seite Willkommen des Zertifikatimport-Assistenten auf Weiter.
3. Klicken Sie auf der Seite Zu importierende Datei auf Weiter.
4. Geben Sie auf der Seite Kennwort das Kennwort ein, das Sie dem Zertifikat zugewiesen
haben. Klicken Sie auf Weiter.
5. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.
6. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.
7. Klicken Sie in der Bestätigung, dass der Import erfolgreich war, auf OK.
8. Öffnen Sie den Ordner Dokumente und klicken Sie doppelt auf die Datei Encrypted.txt.
Der Editor müsste sich öffnen und den Inhalt der Datei anzeigen. Das beweist, dass Sie
den EFS-Schlüssel erfolgreich wiederhergestellt haben und jetzt auf Ihre verschlüsselten
Dateien zugreifen können.

Zusammenfassung der Lektion


„ Mit EFS können Sie einzelne Dateien und Ordner verschlüsseln. Weil verschlüsselte
Dateien nicht mehr verfügbar sind, falls der Benutzer sein EFS-Zertifikat verliert, ist es
wichtig, das EFS-Zertifikat und einen Wiederherstellungsschlüssel zu sichern. In Umge-
bungen, wo sich mehrere Benutzer am selben Computer anmelden, können Sie mehreren
Benutzern Zugriff auf EFS-verschlüsselte Dateien gewähren.
„ Mit BitLocker können Sie das gesamte Systemvolume verschlüsseln. Sofern TPM-Hard-
ware verfügbar ist, greift BitLocker darauf zurück, um den Verschlüsselungsschlüssel zu
versiegeln. BitLocker arbeitet dann während des Computerstarts mit der TPM-Hardware
zusammen, um die Integrität von Computer und Betriebssystem zu überprüfen. Steht
TPM-Hardware zur Verfügung, können Sie optional fordern, dass der Benutzer ein USB-
Flashlaufwerk mit einem speziellen Schlüssel anschließt oder ein Kennwort eingibt, um
Zugriff auf das BitLocker-verschlüsselte Volume zu bekommen. BitLocker ist auf Com-
putern ohne TPM-Hardware in der Standardeinstellung deaktiviert, aber Sie können Bit-
Locker auch ohne TPM-Hardware mithilfe von Gruppenrichtlinieneinstellungen akti-
vieren. Wenn keine TPM-Hardware vorhanden ist, müssen die Benutzer ein USB-Flash-
188 Kapitel 4: Sicherheit

laufwerk einlegen oder einen Wiederherstellungsschlüssel angeben, um Windows 7 zu


starten.

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 3,
»Steuern des Zugriff auf Daten mithilfe von Verschlüsselung«, überprüfen. Die Fragen
finden Sie (in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf
dem Computer im Rahmen eines Übungstests beantworten.

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Welches Tool verwenden Sie, um ein EFS-Zertifikat zu sichern?


A. BitLocker-Laufwerkverschlüsselung
B. Computerverwaltung
C. Zertifikate
D. Dienste
2. Welchen Knoten in der Konsole Zertifikate verwenden Sie, um das Zertifikat des Daten-
wiederherstellungs-Agents zu sichern?
A. Zertifikate – Aktueller Benutzer\Eigene Zertifikate\Zertifikate
B. Zertifikate – Aktueller Benutzer\AD DSBenutzerobjekt
C. Zertifikate (Lokaler Computer)\Eigene Zertifikate\Zertifikate
D. Zertifikate (Lokaler Computer)\AD DSBenutzerobjekt
3. Welche der folgenden Konfigurationen unterstützt BitLocker? (Wählen Sie alle zutref-
fenden Antworten aus.)
A. BitLocker mit einem TPM, aber ohne zusätzliche Schlüssel
B. BitLocker mit einem TPM, bei jedem Start muss eine PIN eingegeben werden
C. BitLocker ohne TPM, bei jedem Start muss eine PIN eingegeben werden
D. BitLocker ohne TPM, bei jedem Start muss ein USB-Stick eingesteckt werden
Rückblick auf dieses Kapitel 189

Rückblick auf dieses Kapitel


Sie können die in diesem Kapitel erworbenen Fähigkeiten folgendermaßen einüben und
vertiefen:
„ Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.
„ Lesen Sie die Liste der Schlüsselbegriffe durch, die in diesem Kapitel eingeführt wurden.
„ Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle
aus der Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie wer-
den aufgefordert, eine Lösung zu entwickeln.
„ Führen Sie die vorgeschlagenen Übungen durch.
„ Machen Sie einen Übungstest.

Zusammenfassung des Kapitels


„ Die Authentifizierung ist der Prozess, bei dem ein Benutzer identifiziert und seine Iden-
tität bewiesen wird. Wenn Sie Authentifizierungsprobleme untersuchen, sollten Sie erst
sicherstellen, dass für den Benutzer keine Anmeldeeinschränkungen wirksam sind, etwa
ein gesperrtes Konto, ein abgelaufenes Kennwort oder ein deaktiviertes Konto. Wenn Sie
Authentifizierungsfehler überwachen wollen, können Sie die Fehlerüberwachung für
Anmeldeversuche aktivieren und dann das Sicherheitsereignisprotokoll analysieren.
Wird ein Computerkonto nichtvertrauenswürdig, können Sie den Computer aus der
Domäne entfernen und erneut hinzufügen oder die Vertrauensbeziehung mit dem Tool
Netdom wiederherstellen.
„ Der Internet Explorer ist eines der wichtigsten Werkzeuge in Windows, weil die Benut-
zer damit auf Webanwendungen und das Internet zugreifen. Daher ist es wichtig, dass
Sie wissen, wie Sie den Internet Explorer konfigurieren und häufig auftretende Probleme
beseitigen. Früher hatten die Benutzer immer wieder Probleme mit Add-Ons, die die
Fähigkeiten des Internet Explorers erweitern, aber unter Umständen auch unzuverlässig
oder böswillig agieren. Glücklicherweise gibt der Internet Explorer Administratoren die
vollständige Kontrolle darüber, welche Add-Ons installiert werden können. Sie können
den Internet Explorer auch jederzeit ohne irgendwelche Add-Ons starten. Um die Gefah-
ren beim Arbeiten mit dem Internet Explorer zu verringern, führt der geschützte Modus
den Internet Explorer mit minimalen Privilegien aus. Wenn eine Webseite, der Internet
Explorer, ein Add-On oder irgendein Prozess, der aus dem Internet Explorer heraus ge-
startet wurde, erhöhte Privilegien anfordert, muss diese Anhebung genehmigt werden,
bevor der Internet Explorer die Aktion ausführen kann. Um Datenschutz und Authenti-
fizierung zu gewährleisten, verwenden viele Websites SSL-Zertifikate. Daher ist es un-
verzichtbar, dass Sie die Ursachen für häufig auftretende Zertifikatprobleme kennen und
wissen, wie Sie diese Probleme beseitigen.
„ Verschlüsselung schützt Daten selbst dann, wenn ein Angreifer die Betriebssystemsicher-
heit umgeht. Windows 7 enthält zwei Verschlüsselungstechnologien: EFS und BitLocker.
EFS verschlüsselt einzelne Dateien und Ordner, BitLocker gesamte Volumes. Falls ein
Benutzer seinen Schlüssel verliert, kann er nicht auf seine verschlüsselten Dateien zu-
greifen. Daher ist es wichtig, Datenwiederherstellungs-Agents für EFS und BitLocker-
Wiederherstellungsschlüssel bereitzuhalten und die Daten regelmäßig zu sichern. Mit
190 Kapitel 4: Sicherheit

dem Tool Manage-bde verwalten Sie BitLocker in einer Eingabeaufforderung. Um Bit-


Locker in einer Eingabeaufforderung zu reparieren, können Sie das Tool Repair-bde
verwenden.

Schlüsselbegriffe
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten über-
prüfen, indem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.
„ ActiveX
„ BitLocker-Laufwerkverschlüsselung
„ Verschlüsselndes Dateisystem (Encrypting File System, EFS)
„ Mandatory Integrity Control (MIC)
„ Mehr-Faktoren-Authentifizierung
„ Geschützter Modus
„ Kompatibilitätsschicht des geschützten Modus
„ Rootkit

Übungen mit Fallbeispiel


In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die in diesem
Kapitel behandelten Themen gelernt haben. Die Lösungen zu den Fragen finden Sie im
Abschnitt »Antworten« hinten in diesem Buch.

Übung mit Fallbeispiel 1: Empfehlen von Datensicherheitstechnologien


Sie arbeiten als Desktopsupporttechniker bei Wingtip Toys. Vor Kurzem hat Adina Hagege,
die Vorstandsvorsitzende des Unternehmens, Sie auf dem Gang angesprochen, um schnell
einige Fragen zu stellen.

Fragen
Beantworten Sie die folgenden Fragen:
1. »Können Sie mir schnell eine Einschätzung zu einem bestimmten Thema geben? Ich bin
fast ständig auf Reisen und speichere die Finanzdaten des Unternehmens und alle Pläne
für unsere neuen Spielzeuge auf meinem Notebook. Die IT-Abteilung behauptet, dass sie
die Dateiberechtigungen so eingerichtet haben, dass nur ich diese Dateien lesen kann.
Reicht das aus für den Fall, dass jemand mein Notebook klaut?«
2. »Gibt es irgendeine Möglichkeit, meine Daten auch dann zu schützen, wenn das Note-
book gestohlen wird? Welche Varianten stehen mir zur Verfügung?«
3. »Manchmal gebe ich Dateien für andere Leute im Netzwerk frei. Welche dieser Techno-
logien erlaubt mir, die Dateien auf diese Weise freizugeben?«
Vorgeschlagene Übungen 191

Übung mit Fallbeispiel 2: Unerwünschte Internet Explorer-Add-Ons


Sie sind Systemadministrator bei Humongous Insurance. Vor Kurzem hat einer Ihrer Vertreter
beim Helpdesk angerufen, weil er seltsame Probleme mit dem Internet Explorer hat. Insbe-
sondere stört ihn, dass seine Startseite geändert wurde und der Popupblocker nicht mehr zu
funktionieren scheint.
Ihr Manager macht sich Sorgen, dass dies kein Einzelfall ist, und beauftragt Sie, mit den
entsprechenden Mitarbeitern zu reden. Anschließend sollen Sie in sein Büro kommen und
Empfehlungen geben, wie sich solche Probleme in Zukunft vermeiden lassen.

Recherche
Hier die Aussagen der Unternehmensmitarbeiter, die Sie befragt haben:
„ David Barber, Vertreter »Ich habe ein Add-On installiert, weil das Surfen im Web
dadurch angeblich schneller wird. Ich habe keine Verbesserung bemerkt. Danach hat sich
aber die Startseite bei meinem Internet Explorer geändert und seitdem bekomme ich jede
Menge Popupwerbung auf meinem Bildschirm.«
„ Julian Price, Projektmanager für Internetentwicklung »Wir haben vor Kurzem
unsere gesamte interne Software auf die ASP.NET-Webanwendungsplattform umgestellt.
Für einige kompliziertere Elemente haben wir selbst entwickelte clientseitige Add-Ons
im Internet Explorer installiert. Sie dürfen also auf keinen Fall alle Add-Ons blockieren.
Wir nutzen Add-Ons intern und aktualisieren sie regelmäßig, daher müssen die Benutzer
in der Lage sein, die Add-Ons automatisch zu installieren.«

Fragen
Beantworten Sie Ihrem Manager folgende Fragen:
1. Wie lassen sich unerwünschte Add-Ons am besten entfernen, falls dieses Problem noch
einmal auftritt?
2. Sind in der Standardeinstellung von Windows 7 irgendwelche Features aktiviert, die
Benutzer vor unerwünschten Add-Ons schützen? Welche?
3. Wie lassen sich unerwünschte Add-Ons in Zukunft am besten verhindern?

Vorgeschlagene Übungen
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die in diesem Kapitel behan-
delten Prüfungsziele meistern wollen.

Untersuchen und Beseitigen von Anmeldeproblemen


Im Rahmen dieser Aufgabe sollten Sie beide Übungen durchführen.
„ Übung 1 Besuchen Sie http://social.answers.microsoft.com/Forums/de-DE/category/
windows7 und suchen Sie die Newsgroup »Sicherheit, Datenschutz und Benutzerkon-
ten«. Lesen Sie die Nachrichten durch, um festzustellen, wie andere Administratoren
ihre Authentifizierungsprobleme gelöst haben.
„ Übung 2 Aktivieren Sie auf Ihrem Produktivcomputer die Erfolgs- und Fehlerüber-
wachung für die Richtlinie Anmeldeereignisse überwachen. Lassen Sie die Überwachung
192 Kapitel 4: Sicherheit

einige Tage laufen und analysieren Sie dann die Überwachungsereignisse im Sicherheits-
ereignisprotokoll. Stellen Sie fest, welche Ereignistypen während des normalen Compu-
terbetriebs aufgezeichnet werden.

Untersuchen und Beseitigen von Verschlüsselungsproblemen


Im Rahmen dieser Aufgabe sollten Sie Übung 1 durchführen. Falls Sie sich ausführlicher
mit BitLocker beschäftigen wollen, können Sie auch die Übungen 2 und 3 durcharbeiten.
„ Übung 1 Verschlüsseln Sie in einer Domänenumgebung eine Datei mit EFS. Kopieren
Sie dann den Domänen-DRA-Schlüssel auf diesen Computer und verwenden Sie ein
anderes Konto, um die verschlüsselte Datei wiederherzustellen.
„ Übung 2 Aktivieren Sie die BitLocker-Laufwerkverschlüsselung auf einem Win-
dows 7-Computer. Suchen Sie dann im Internet nach einer kostenlosen .iso-Datei für ein
startfähiges Betriebssystem und brennen Sie die .iso-Datei auf eine CD oder DVD.
Starten Sie den Computer von dem startfähigen Medium und versuchen Sie, sich die
Dateien auf dem BitLocker-geschützten Volume anzusehen.
„ Übung 3 Aktivieren Sie die BitLocker-Laufwerkverschlüsselung auf einem Win-
dows 7-Computer. Bauen Sie dann die Festplatte in einen anderen Computer ein und
versuchen Sie, Windows zu laden. Geben Sie den Wiederherstellungsschlüssel ein, wenn
Sie dazu aufgefordert werden.

Untersuchen und Beseitigen von Sicherheitsproblemen für Windows Internet


Explorer
Im Rahmen dieser Aufgabe sollten Sie mindestens die Übungen 1 bis 3 durchführen. Wenn
Sie genauer untersuchen wollen, wie der Internet Explorer auf erwünschte oder böswillige
Änderungen reagiert, können Sie auch Übung 4 durcharbeiten.
„ Übung 1 Öffnen Sie auf dem Computer, den Sie für Ihre normale Arbeit einsetzen, den
Internet Explorer und zeigen Sie das Dialogfeld Add-Ons verwalten an. Untersuchen Sie,
welche unterschiedlichen Add-Ons bereits installiert sind.
„ Übung 2 Starten Sie den Internet Explorer mit deaktivierten Add-Ons. Besuchen Sie
Ihre Lieblingswebsites und untersuchen Sie, ob sich durch das Fehlen der Add-Ons
etwas ändert.
„ Übung 3 Öffnen Sie auf dem Computer, den Sie für Ihre normale Arbeit einsetzen, im
Explorer den Ordner \%UserProfile%\AppData\Local\Microsoft\Windows\Temporary
Internet Files\Virtualized\ und seine Unterordner. Der Ordner ist ausgeblendet, daher
müssen Sie den vollständigen Pfad eingeben. Untersuchen Sie, welche Anwendungen
die Internet Explorer-Kompatibilitätsschicht virtualisiert hat und welche Dateitypen
betroffen sind.
„ Übung 4 Führen Sie auf einem Testcomputer eine Neuinstallation von Windows 7
durch. Besuchen Sie Ihre Lieblingswebsites und sehen Sie sich an, wie Informations-
leiste, geschützter Modus und UAC zusammenarbeiten, um den Benutzer gegen poten-
ziell unerwünschte Add-Ons zu schützen. Besuchen Sie anschließend im Internet Explo-
rer potenziell gefährliche Websites, die unter Umständen versuchen, böswillige Software
zu installieren. Sehen Sie sich an, wie der Internet Explorer reagiert. (Hinweis: Suchen
Sie nach Kombinationen von Wörtern wie »crack«, »hack«, »warez« und »serials«).
Machen Sie einen Übungstest 193

Machen Sie einen Übungstest


Die Übungstests (in englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahl-
reiche Möglichkeiten. Zum Beispiel können Sie einen Test machen, der ausschließlich die
Themen aus einem Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesam-
ten Inhalt der Prüfung 70-685 testen. Sie können den Test so konfigurieren, dass er dem
Ablauf einer echten Prüfung entspricht, oder Sie können einen Lernmodus verwenden, in
dem Sie sich nach dem Beantworten einer Frage jeweils sofort die richtige Antwort und
Erklärungen ansehen können.

Weitere Informationen Übungstests


Einzelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, finden Sie im
Abschnitt »So benutzen Sie die Übungstests« in der Einführung am Anfang dieses Buchs.
195

K A P I T E L 5

Schützen von Clientsystemen

Jeder Computer, der mit dem Internet verbunden ist, ist einer ständigen Welle von Angriffen
durch Schadsoftware ausgesetzt, die über das Netzwerk einzudringen versucht. Die Zahl und
Raffinesse dieser Bedrohungen nimmt von Jahr zu Jahr zu. Als Supporttechniker in einem
Großunternehmen sind Sie dafür verantwortlich, die Clientsysteme vor dieser wachsenden
Gefahr zu schützen.
Um Ihre Rolle in der Verteidigungsstrategie des Unternehmens erfüllen zu können, müssen
Sie wissen, wie Sie in Windows 7 die Features konfigurieren, die Ihre Clients schützen. Ins-
besondere müssen Sie wissen, wie Sie die Gefahr verringern, dass Malware Schaden anrich-
tet. Dazu richten Sie die Benutzerkontensteuerung (User Account Control, UAC) passend
ein, konfigurieren Windows-Defender und deinstallieren unerwünschte Software, sobald sie
entdeckt wird.

Prüfungslernziele in diesem Kapitel:


„ Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware

Lektion in diesem Kapitel:


„ Lektion 1: Beseitigen von Malwareproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Bevor Sie beginnen


Um die Übungen in diesem Kapitel durcharbeiten zu können, brauchen Sie:
„ Einen Domänencontroller, der unter Windows Server 2008 R2 läuft
„ Einen Windows 7-Clientcomputer, der Mitglied derselben Domäne ist

Praxistipp
J.C. Mackin
Ich höre oft, wie falsche Informationen über Viren und andere Malware verbreitet werden,
und bin überzeugt, dass diese Fehlinformationen dazu führen, dass sich Benutzer und
Administratoren in falscher Sicherheit wiegen, was die Gefahren betrifft, denen ihre
Systeme ausgesetzt sind. Viele der Fehlinformationen basieren auf exakten Kenntnissen
über den Stand der Technik, den Malwarebedrohungen vor rund 10 Jahre hatten. Aber die
Fähigkeiten dieser Programme haben sich erheblich weiterentwickelt, und diese Entwick-
lung geht weiter. Damit Sie lernen, wie Sie sich heute am besten verteidigen können,
sollten wir daher mit einigen Mythen aufräumen:
196 Kapitel 5: Schützen von Clientsystemen

„ »Solange Sie die Windows-Updates auf dem neuesten Stand halten, passiert Ihnen
nichts.«
Natürlich müssen Sie Microsoft Windows mit Updates auf dem neuesten Stand
halten, aber das gilt für Ihre gesamte Software. Sicherheitslücken finden sich genauso
in Anwendungen wie in Betriebssystemen. Und viele dieser Sicherheitslücken lassen
sich ausnutzen, um ein System vollständig zu übernehmen. Microsoft Office-Anwen-
dungen werden besonders oft angegriffen. Denken Sie daran, dass Ihre Systeme nicht
vor Angriffen geschützt sind, wenn Sie nur Windows aktualisiert halten.
„ »Solange Sie sich nicht durch einen Trick dazu bringen lassen, ein Einfallstor zu
öffnen, passiert Ihnen nicht.«
Vor langer, langer Zeit war es so, dass Schadsoftware die Mithilfe eines Benutzers
brauchte, um sich auf einem System zu installieren. Heutzutage sieht die Situation
ganz anders aus. Schon wenn Sie die falsche Site im Browser aufrufen, können Sie
sich den heimlichen Download von Schadsoftware einhandeln. Einige der verhee-
rendsten Angriffe stammen von Internet-Würmern, die völlig unabhängig von Benut-
zeraktionen agieren. Es ist nach wie vor wichtig, dass die Benutzer keine unbekannte
Software starten, aber diese Maßnahme allein reicht nicht aus, um ihre Systeme vor
einer Infektion zu schützen.
„ »Solange Sie Ihre Antivirensoftware auf dem neuesten Stand halten und täglich einen
Scan durchführen, passiert Ihnen nichts.«
Das ist wahrscheinlich der am weitesten verbreitete Mythos über Malware. Es stimmt
zwar, dass eine solide Antimalwarelösung einer der wesentlichen Pfeiler in jeder
Clientschutzstrategie ist, aber es lässt sich nicht leugnen: Diese Software hat ihre
Grenzen. Malwareentwickler, die bei ihren Angriffen Erfolg haben wollen, entwerfen
ihre Programme natürlich so, dass sie nicht von Antiviruslösungen entdeckt werden.
Beispielsweise ist das Rootkit ein relativ neuer Typ Malware, den bisher nur wenige
Antimalwareanwendungen zuverlässig erkennen. Aber selbst herkömmliche Arten
von Malware können so entworfen sein, dass sie einer Entdeckung aus dem Weg
gehen. Selbst wenn Ihre Antivirensoftware also keine Malware auf einem System
findet, sollten Sie sich bewusst sein, dass dieses System durchaus infiziert sein
könnte.
Durch diese drei Mythen zieht sich ein roter Faden: der Glaube, Sie könnten Ihre Systeme
vor Malware schützen, indem Sie eine wenige bekannte Schutzmechanismen nutzen. Die
Wirklichkeit sieht anders aus: Will Ihr Unternehmen seine Clientsysteme wirksam schüt-
zen, muss es eine ganze Palette von Strategien einsetzen. Das sind unter anderem effek-
tive Softwareupdates, Antivirensoftware, Schulung der Benutzer, Firewalls und vor allem
effektive Verwaltung dieser und anderer Sicherheitsfeatures.
Lektion 1: Beseitigen von Malwareproblemen 197

Lektion 1: Beseitigen von Malwareproblemen


Pro Tag werden inzwischen mehr neue Malwareanwendungen geschrieben als seriöse
Anwendungen. Als Supporttechniker in einem großen Unternehmen müssen Sie Ihre Clients
wirksam vor dieser wachsenden Gefahr schützen und wissen, wie Sie Malwareinfektionen
begegnen, wenn sie dennoch eingetreten sind.
Windows 7 enthält zwei Features, die Ihnen beim Kampf gegen Malware helfen. Die Benut-
zerkontensteuerung (User Account Control, UAC) hilft dabei zu verhindern, dass Programme
geschützte Bereiche des Betriebssystems heimlich manipulieren. Und Windows-Defender
durchsucht Ihr System nach Spyware und bietet an, jegliche unerwünschte Software, die er
erkannt hat, direkt zu löschen.
Sie brauchen daneben zwar weitere Anwendungen wie Microsoft Forefront und eine verwal-
tete Antimalwarelösung, um Ihr Netzwerk zu schützen, aber die Benutzung und Konfigura-
tion dieser integrierten Features von Windows 7 gehören zu den Fähigkeiten, die Sie für
Ihren Beruf unbedingt brauchen.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Die Benutzerkontensteuerung so konfigurieren, dass die angezeigten Benachrichti-
gungen den Anforderungen Ihrer Organisation entsprechen
„ Konfigurieren von Windows-Defender-Einstellungen
„ Bestimmte Malware erkennen und von Hand entfernen, falls Ihre Antimalwareanwen-
dungen scheitern
Veranschlagte Zeit für diese Lektion: 30 Minuten

Grundlagen von Malware


Malware ist ein Sammelbegriff für viele unterschiedliche Arten unerwünschter Software. Sie
müssen die Charakteristiken der unterschiedlichen Bedrohungen kennen, aber auch wissen,
dass viele Malwareanwendungen Features unterschiedlicher Typen miteinander verschmel-
zen. Die folgende Liste beschreibt die am weitesten verbreiteten Malwaretypen:
„ Virus Ein Virus ist ein Programm, das sich selbst vermehrt und sich automatisch auf
einem Zielcomputer installiert. Viren vermehren sich nicht automatisch über Netzwerke.
Ihre Verbreitungswege sind E-Mail oder andere Methoden. Ist ein Virus einmal installiert,
verändert, schädigt oder kompromittiert er normalerweise ein System, wofür er unter-
schiedliche Techniken einsetzt.
„ Wurm Ein Wurm ist ein Programm, das sich selbst vermehrt und sich ohne Hilfe eines
Benutzers oder von Programmen wie E-Mail-Clients oder Webbrowsern automatisch
über ein Netzwerk verbreitet. Würmer richten ganz unterschiedliche Schäden an. Manche
Würmer beschränken sich darauf, sich zu vermehren; sie rauben im Grunde nur Netz-
werkbandbreite. Andere können eingesetzt werden, um ein System vollständig zu kom-
promittieren.
„ Trojanisches Pferd Ein Trojanisches Pferd ist ein Programm, das sich den Benutzern
als nützliche Anwendung präsentiert, aber in Wirklichkeit dazu entwickelt wurde, ein
System zu schädigen. Im Unterschied zu Viren und Würmern kopieren oder installieren
sich Trojanische Pferde nicht automatisch. Ein Benutzer muss sie installieren.
198 Kapitel 5: Schützen von Clientsystemen

„ Spyware Spyware ist Software, die in die Privatsphäre des Benutzers eindringt, indem
sie heimlich Informationen über sein Verhalten aufzeichnet. Oft werden diese Daten für
die Marktforschung verwendet. Spyware wird meist in ein System eingeschleust, wenn
ein Benutzer ein kostenloses Tool installiert oder eine Website besucht, während die
Sicherheitseinstellungen des Browsers lax konfiguriert sind. Am häufigsten zeichnet
solche Spyware auf, welche Websites ein Benutzer besucht. In selteneren Fällen wird
Spyware gezielt von einem Angreifer installiert, um persönliche Daten zu sammeln; ein
Beispiel sind Keylogger, die jeden Tastendruck aufzeichnen. Die größte Bedrohung, die
von den meisten Spywareprogrammen ausgeht, ist die Verschlechterung der System-
leistung. Alle Arten von Spyware drücken die Systemleistung, weil sie Ressourcen des
Computers für ihre eigenen Zwecke missbrauchen. Im Unterschied zu Viren und Wür-
mern vermehrt sich Spyware nicht selbst.
„ Adware Adware ähnelt Spyware, die beiden Typen werden auch oft zusammen instal-
liert. Adware verfolgt den Zweck, dem Benutzer Werbung in Form von Popupfenstern
oder Webbrowsermanipulationen aufzuzwingen. Adware kann außerdem Spyware he-
runterladen und installieren.

Hinweis Spyware und Adware


Der Begriff Spyware wird oft als Sammelbegriff für jegliche unerwünschte Software
verwendet, die im Hintergrund läuft und Marktforschungsdaten sammelt, Werbung an-
zeigt oder das Verhalten von Anwendungen wie Webbrowsern manipuliert. Microsoft
verwendet die Phrase »Spyware und potenziell unerwünschte Software«, um Software
zu bezeichnen, die unerwünscht, aber nicht zwangsläufig schädlich ist.

„ Backdoor Ein Backdoor (Hintertür) ist ein Programm, mit dem ein unautorisierter
Angreifer sich über das Netzwerk vollständige Kontrolle über ein System verschaffen
kann, weil die normalen Authentifizierungsmechanismen des Systems einfach umgangen
werden. Backdoors werden bisweilen von Würmern installiert, die eine Sicherheitslücke
in einem verbreiteten Programm ausnutzen. Um Ihr System vor Backdoors zu schützen,
müssen Sie Ihre Anwendungen (und nicht nur das Betriebssystem) bei Updates unbe-
dingt auf dem neuesten Stand halten.
„ Rootkit Ein Rootkit ist ein hartnäckiger Malwaretyp, der sich selbst unterhalb der
Anwendungsebene einschleust. Daher ist es aus dem Betriebssystem heraus meist nur
sehr schwer zu entdecken. Ein Rootkit kann die zentralen Funktionen des Betriebs-
systems verändern oder sich selbst als Betriebssystem installieren, das für den Benutzer
und die meisten Antimalwareprogramme unsichtbar ist. Andere Rootkits arbeiten auf der
Ebene der Firmware (BIOS). Rootkits werden meist benutzt, um ein Backdoor in ein
System zu öffnen.
Die Vielfalt und Zahl von Malware hat zwar zugenommen, aber auch die Abwehrmechanis-
men gegen diese Bedrohungen haben sich verbessert. Ist beispielsweise die UAC in Win-
dows 7 aktiviert, kann sich Malware nicht einfach installieren, ohne dass der Benutzer etwas
davon bemerkt. Der nächste Abschnitt bietet einen Überblick über die UAC, die in Windows
Vista erstmals eingeführt und in Windows 7 weiter verbessert wurde.
Lektion 1: Beseitigen von Malwareproblemen 199

Grundlagen der Benutzerkontensteuerung


Die Benutzerkontensteuerung (User Account Control, UAC) ist ein Satz Sicherheitsfeatures,
die die Gefahren verringern sollen, die auftreten, wenn Sie Windows als Administrator be-
nutzen. Andererseits soll sie die Arbeit so bequem wie möglich machen, wenn Sie Windows
als Standardbenutzer ausführen. In älteren Windows-Versionen vor Windows Vista gab es
erhebliche Risiken, wenn sie sich als Administrator anmeldeten. Dennoch war diese Praxis
weit verbreitet. Dagegen war es im Allgemeinen sicher, sich als Standardbenutzer anzumel-
den, aber weil es oft unbequem war, verzichteten viele darauf.
In Windows-Versionen vor Windows Vista konnte Malware die Anmeldeinformationen eines
lokal angemeldeten Administrators missbrauchen, um das System zu beschädigen. Wenn Sie
beispielsweise als Administrator an Windows XP angemeldet waren und unwissentlich ein
Trojanisches Pferd aus einem Netzwerk herunterluden, konnte diese Malware Ihre adminis-
trativen Privilegien ausnutzen, um Ihre Festplatte neu zu formatieren, alle Ihre Dateien zu
löschen oder ein verborgenes Administratorkonto auf dem lokalen System anzulegen.
Benutzer arbeiteten in älteren Windows-Versionen trotz dieser Gefahren in erster Linie des-
halb als Administratoren, weil viele häufig durchgeführte Aufgaben, etwa das Installieren
einer Anwendung oder das Hinzufügen eines Druckers, nur von einem Benutzer durchgeführt
werden durften, der administrative Privilegien auf dem lokalen Computer hatte. Weil es in
älteren Windows-Versionen keine einfache Methode gab, sich als Standardbenutzer anzu-
melden und bei Bedarf zu einem Administrator »aufzusteigen«, konfigurierten viele Orga-
nisationen, deren Benutzer gelegentlich administrative Privilegien brauchten, ihre Benutzer
einfach als Administratoren auf ihren lokalen Computern.

Hinweis Was ist Anhebung?


Der Begriff »Anhebung« (elevation) bedeutet, dass ein Benutzer administrative Privilegien
bekommt, um eine Aufgabe auszuführen.

Wie begegnet die UAC dem Problem der Administratorprivilegien?


Die UAC ist das Ergebnis eines neuen Windows-Sicherheitsentwurfs, in dem sowohl Stan-
dardbenutzer als auch Administratoren lediglich die eingeschränkten Privilegien eines Stan-
dardbenutzers gewährt bekommen, um die meisten Aktionen auszuführen. Während Benutzer
angemeldet sind, fordert die UAC sie auf unterschiedliche Weise auf, Aktionen zu bestätigen,
die wichtige Änderungen am Computer vornehmen. Ist ein Administrator angemeldet, wird
die Aktion nur ausgeführt, wenn er sie genehmigt. Ist dagegen ein Standardbenutzer ange-
meldet, wird die Aktion nur durchgeführt, wenn er die Anmeldeinformationen eines Ad-
ministrators eingibt. In beiden Fällen ist die Anhebung auf die Privilegebene eines Adminis-
trators temporär; sie wird nur wirksam, um die gewünschte Aktion auszuführen. Mit diesem
neuen System verhindert die UAC, dass Malware heimlich die Privilegien eines angemel-
deten Administrators nutzt.

Grundlagen der UAC-Benachrichtigungen für Administratoren


In der Standardeinstellung ist die UAC so konfiguriert, dass sie Administratoren nur benach-
richtigt, wenn Programme eine Anhebung anfordern. Beispielsweise bekommen Adminis-
tratoren eine UAC-Benachrichtigung angezeigt, wenn sie versuchen, ein Programm (etwa
Cmd.exe) mit erhöhten Administratorprivilegien auszuführen (Abbildung 5.1). Bei dieser
200 Kapitel 5: Schützen von Clientsystemen

Standardeinstellung erhalten Administratoren in Windows 7 keine UAC-Benachrichtigung,


wenn sie Windows-Einstellungen ändern, die Administratorprivilegien benötigen.

Abbildung 5.1 Öffnen einer Eingabeaufforderung mit erhöhten Rechten

Hinweis Änderungen am UAC-Verhalten in Windows 7


Für Administratoren hat sich das Standardverhalten der UAC in Windows 7 gegenüber Win-
dows Vista und Windows Server 2008 deutlich geändert. In diesen Betriebssystemen zeigte
die UAC standardmäßig eine Eingabeaufforderung an, wenn irgendeine Anhebung angefor-
dert wurde, also auch, wenn ein Administrator versuchte, Windows-Einstellungen zu verän-
dern. In Windows 7 müssen Administratoren seltener UAC-Eingabeaufforderungen bestäti-
gen.

Die UAC-Benachrichtigung, die Administratoren normalerweise angezeigt bekommen, ist


eine sogenannte Zustimmungs-Eingabeaufforderung (Abbildung 5.2). In der Standardeinstel-
lung verdunkelt sich der gesamte Bildschirm, wenn die Benachrichtigung erscheint, und
bleibt so lange eingefroren, bis der Benutzer die Eingabeaufforderung bestätigt hat. Dieses
Feature heißt sicherer Desktop, es kann bei Bedarf deaktiviert werden.

Hinweis Klären Sie die Benutzer über UAC-Eingabeaufforderungen auf!


UAC-Benachrichtigungen haben die Aufgabe, Benutzer zu warnen, wenn die Gefahr besteht,
dass Malware ihren Computer beschädigt. Würde Malware eine Anhebung für irgendeine
Operation anfordern, würde sie ebenfalls eine Benachrichtigung wie in den Abbildungen 5.2
oder 5.3 auslösen. Daher kann die UAC nur dann Malware abwehren, wenn die Benutzer
auch richtig reagieren. Sie müssen den Benutzern beibringen (und Ihre Administratorkolle-
gen diskret erinnern), dass sie auf Nein oder Abbrechen klicken sollen, wenn sie eine UAC-
Benachrichtigung angezeigt bekommen, die sie nicht selbst veranlasst haben.
Lektion 1: Beseitigen von Malwareproblemen 201

Abbildung 5.2 In der Standardeinstellung zeigt die UAC eine Zustimmungs-


Eingabeaufforderung auf dem sicheren Desktop an, wenn Administratoren die
Ausführung eines Programms mit Anhebung anfordern

Grundlagen der UAC-Benachrichtigungen für Standardbenutzer


Standardbenutzer bekommen andere UAC-Benachrichtigungen angezeigt als Administrato-
ren. In diesen Benachrichtigungen werden die Standardbenutzer aufgefordert, die Anmelde-
informationen eines Administrators einzugeben. Wie Administratoren erhalten auch Stan-
dardbenutzer in der Standardeinstellung UAC-Benachrichtigungen, wenn sie versuchen, ein
Programm wie die Eingabeaufforderung mit erhöhten Privilegien auszuführen, oder wenn
ein Programm selbstständig eine Anhebung anfordert. Außerdem bekommen Standardbenut-
zer normalerweise eine UAC-Benachrichtigung angezeigt, wenn sie versuchen, Änderungen
am System durchzuführen, die Administratorprivilegien erfordern. Öffnet ein Standardbe-
nutzer beispielsweise in der Systemsteuerung die Seite System und klickt auf Remoteeinstel-
lungen, bekommt er die Eingabeaufforderung aus Abbildung 5.3 angezeigt, in der er nach
Anmeldeinformationen gefragt wird.

Hinweis Für normale Benutzer ist das Standardverhalten der UAC in Windows 7 unverändert
Die UAC stellt in Windows 7 zwar viele Benachrichtigungsebenen zur Verfügung, die es in
Windows Vista oder Windows Server 2008 nicht gab, aber das Standardverhalten für normale
Benutzer ist gleich geblieben. Jedes Mal, wenn ein Standardbenutzer versucht, eine Änderung
durchzuführen, für die Administratorprivilegien benötigt werden, erscheint eine Eingabeauf-
forderung nach Anmeldeinformationen auf dem sicheren Desktop.
202 Kapitel 5: Schützen von Clientsystemen

Abbildung 5.3 In der Standardeinstellung zeigt die UAC eine Eingabeaufforderung nach Anmelde-
informationen auf dem sicheren Desktop an, wenn ein Standardbenutzer eine Anhebung anfordert

Konfigurieren der UAC in der Systemsteuerung


In einer Domänenumgebung wird empfohlen, die UAC zentral mithilfe von Gruppenricht-
linien zu steuern, statt die Einstellungen auf jedem Computer lokal zu konfigurieren. In
Arbeitsgruppenumgebungen oder in Domänenumgebungen, wo Gruppenrichtlinien eine
lokale UAC-Konfiguration erlauben, können Sie die UAC in der Systemsteuerung konfigu-
rieren.
Gehen Sie folgendermaßen vor, um die UAC in der Systemsteuerung zu konfigurieren:
1. Klicken Sie in der Systemsteuerung auf System und Sicherheit.
2. Klicken Sie unter Wartungscenter auf Einstellungen der Benutzerkontensteuerung ändern
(Abbildung 5.4).
Daraufhin öffnet sich das Fenster Einstellungen für Benutzerkontensteuerung (Abbil-
dung 5.5). Beachten Sie, dass hier für Administratoren und Standardbenutzer unterschied-
liche Optionen verfügbar sind und dass jeder Benutzertyp eine andere Standardeinstel-
lung hat.
Lektion 1: Beseitigen von Malwareproblemen 203

Abbildung 5.4 UAC-Einstellungen ändern Sie im Wartungscenter

Abbildung 5.5 Bei der UAC haben Sie die Wahl zwischen vier Benachrichtigungsstufen

3. Wählen Sie eine der folgenden Benachrichtigungsstufen:


„ Immer benachrichtigen Dies ist die Standardeinstellung für normale Benutzer. In
dieser Stufe ist die UAC so konfiguriert, dass sie sich wie in Windows Vista verhält.
Die Benutzer werden benachrichtigt, sobald versucht wird, am System Änderungen
vorzunehmen, für die Administratorprivilegien erforderlich sind.
„ Nur benachrichtigen, wenn Änderungen am Computer von Programmen vor-
genommen werden Dies ist die Standardstufe für Administratoren, für normale
Benutzer steht sie nicht zur Verfügung. Bei dieser Stufe werden Administratoren
nicht benachrichtigt, wenn sie selbst Änderungen vornehmen, die Administrator-
privilegien erfordern. Dagegen werden sie über eine Zustimmungs-Eingabeauffor-
derung benachrichtigt, wenn ein Programm eine Anhebung anfordert.
„ In folgenden Situationen immer benachrichtigen (und Desktop nicht abblen-
den) Diese Stufe steht für Administratoren nicht zur Verfügung. Sie ähnelt der
204 Kapitel 5: Schützen von Clientsystemen

Standardeinstellung für normale Benutzer, allerdings wird niemals der sichere


Desktop angezeigt. Wenn Sie den sicheren Desktop deaktivieren, verringert das den
Schutz vor Malware, verbessert aber die Benutzerfreundlichkeit. Diese Einstellung
eignet sich für Standardbenutzer, die sehr oft eine Anhebung anfordern.
„ Nur benachrichtigen, wenn Änderungen am Computer von Programmen vor-
genommen werden (Desktop nicht abblenden) Diese Stufe steht sowohl für
Standardbenutzer als auch Administratoren zur Verfügung. Ihr Verhalten gleicht der
Standardstufe für Administratoren (»Nur benachrichtigen, wenn Änderungen am
Computer von Programmen vorgenommen werden«), aber bei dieser Stufe wird der
sichere Desktop nicht angezeigt.
„ Nie benachrichtigen Diese Stufe deaktiviert die Benachrichtigungen der UAC.
Benutzer werden über keinerlei Änderungen an den Windows-Einstellungen oder
Installation von Software benachrichtigt. Diese Option ist nur sinnvoll, wenn Sie
Programme einsetzen, die zur UAC inkompatibel sind.
4. Klicken Sie auf OK.

Konfigurieren der UAC mithilfe von Gruppenrichtlinien


Sie können die UAC über die lokale Sicherheitsrichtlinie oder Gruppenrichtlinieneinstellun-
gen konfigurieren. Die Richtlinieneinstellungen für die UAC finden Sie im folgenden Knoten
eines Gruppenrichtlinienobjekts:
Computerconfiguration\Richtlinien\Windows-Settings\Sicherheitseinstellungen\Lokale
Richtlinien\Sicherheitsoptionen
Abbildung 5.6 zeigt die Richtlinien in diesem Knoten.

Abbildung 5.6 Sie finden die UAC-Einstellungen in einem Gruppenrichtlinienobjekt oder in der
lokalen Sicherheitsrichtlinie unter Sicherheitsoptionen

Für die UAC stehen 10 Richtlinieneinstellungen zur Verfügung, die in diesem Abschnitt
beschrieben werden.
„ Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte
Administratorkonto Diese Richtlinie betrifft nur das vordefinierte Administrator-
konto, nicht die anderen Konten, die Mitglieder der lokalen Gruppe Administratoren
Lektion 1: Beseitigen von Malwareproblemen 205

sind. Wenn Sie diese Richtlinieneinstellung aktivieren, bekommt das vordefinierte


Administratorkonto dieselben UAC-Benachrichtigungen angezeigt wie alle anderen
administrativen Konten. Wenn Sie diese Einstellung deaktivieren, verhält sich das
vordefinierte Administratorkonto wie in Windows XP, und alle Prozesse laufen mit
Administratorprivilegien. Diese Einstellung ist in der Standardeinstellung deaktiviert.
„ Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne
sicheren Desktop anfordern Diese Einstellung steuert, ob UIAccess-Programme
(User Interface Accessibility) den sicheren Desktop automatisch deaktivieren dürfen.
Wenn diese Richtlinie aktiviert ist, deaktivieren UIAccess-Anwendungen (beispiels-
weise die Remoteunterstützung) automatisch den sicheren Desktop für Anhebungsauf-
forderungen. Ist der sichere Desktop deaktiviert, werden Anhebungsaufforderungen auf
dem Standarddesktop angezeigt. In der Standardeinstellung ist diese Einstellung in der
lokalen Sicherheitsrichtlinie deaktiviert.
„ Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte
für Administratoren im Administratorbestätigungsmodus Diese Richtlinienein-
stellung steuert das Verhalten der Anhebungseingabeaufforderung für Administratoren.
Es stehen sechs Optionen zur Wahl:
† Erhöhte Rechte ohne Eingabeanforderung Bei dieser Option bekommen Ad-
ministratoren niemals Anhebungsaufforderungen angezeigt.
† Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop
Wenn Sie diese Option auswählen, bekommen Administratoren eine Eingabeauffor-
derung nach Anmeldeinformationen auf dem sicheren Desktop angezeigt, sobald
eine Anhebung angefordert wird.
† Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop Bei dieser
Option bekommen Administratoren eine Zustimmungs-Eingabeaufforderung auf
dem sicheren Desktop angezeigt, wenn eine Anhebung angefordert wird.
† Eingabeaufforderung zu Anmeldeinformationen Ist diese Option ausgewählt,
bekommen Administratoren eine Eingabeaufforderung nach Anmeldeinformationen
auf dem normalen Desktop angezeigt, wenn eine Anhebung angefordert wird.
† Eingabeaufforderung zur Zustimmung Wenn diese Option ausgewählt ist, be-
kommen Administratoren eine Zustimmungs-Eingabeaufforderung auf dem normalen
Desktop angezeigt, wenn eine Anhebung angefordert wird.
† Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien Dies
ist die Standardeinstellung in der lokalen Sicherheitsrichtlinie. Dabei wird eine
Zustimmungs-Eingabeaufforderung angezeigt, wann immer eine Anwendung eine
Anhebung anfordert.
„ Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für
Standardbenutzer Diese Richtlinieneinstellung steuert das Verhalten der Anhebungs-
aufforderung für Standardbenutzer. Es stehen drei Optionen zur Wahl:
† Anforderungen für erhöhte Rechte automatisch ablehnen Wenn diese Option
verwendet wird, können Standardbenutzer keine Aufgaben durchführen, die eine
Anhebung erfordern.
† Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop
Bei dieser Option (Standardeinstellung in der lokalen Sicherheitsrichtlinie) bekom-
206 Kapitel 5: Schützen von Clientsystemen

men Standardbenutzer eine Eingabeaufforderung nach Anmeldeinformationen auf


dem sicheren Desktop angezeigt, wenn eine Anhebung angefordert wird.
† Eingabeaufforderung zu Anmeldeinformationen Wenn diese Option ausgewählt
ist, bekommen Standardbenutzer eine Eingabeaufforderung nach Anmeldeinforma-
tionen auf dem normalen Desktop angezeigt, wenn eine Anhebung angefordert wird.
„ Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte
Rechte anfordern Wenn diese Richtlinieneinstellung aktiviert ist, fordert die UAC
administrative Anmeldeinformationen an, wenn der Benutzer versucht, eine Anwendung
zu installieren, die Änderungen an geschützten Bereichen des Systems vornimmt. Wenn
die Einstellung deaktiviert ist, erscheint die Eingabeaufforderung nicht. Domänenum-
gebungen, die Technologien für delegierte Installation einsetzen, zum Beispiel GPSI
(Group Policy Software Install) oder Microsoft Systems Management Server (SMS),
können dieses Feature problemlos deaktivieren, weil Installationsvorgänge automatisch
die Privilegien anheben können, ohne dass der Benutzer eingreifen muss. In der Stan-
dardeinstellung ist diese Einstellung in der lokalen Sicherheitsrichtlinie aktiviert.
„ Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und
überprüft sind Wenn diese Richtlinie aktiviert ist, weigert sich Windows 7, irgendeine
ausführbare Datei auszuführen, die nicht mit einem vertrauenswürdigen Zertifikat signiert
ist, also zum Beispiel einem Zertifikat, das von einer internen PKI (Public Key Infra-
structure) generiert wurde. Ist die Richtlinie deaktiviert, dürfen Benutzer beliebige aus-
führbare Dateien starten, potenziell also auch Malware. Falls Ihre Umgebung voraussetzt,
dass alle Anwendungen (auch intern entwickelte Anwendungen) mit einem vertrauens-
würdigen Zertifikat signiert und überprüft sein müssen, können Sie diese Richtlinie
aktivieren und die Sicherheit in Ihrer Organisation auf diese Weise deutlich erhöhen.
Diese Einstellung ist in der lokalen Sicherheitsrichtlinie standardmäßig deaktiviert.
„ Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an
sicheren Orten installiert sind Wenn diese Richtlinie aktiviert ist, erlaubt Windows 7
nur Anwendungen, die aus den Ordnern Program Files, Program Files (x86), \Windows\
System32\ oder einem Unterverzeichnis davon gestartet wurden, Zugriff auf die Benut-
zeroberfläche. Wenn die Richtlinie deaktiviert ist, wird Anwendungen unabhängig davon,
von welchem Ort in der Dateistruktur sie gestartet wurden, Zugriff auf die Benutzerober-
fläche gewährt. Diese Richtlinieneinstellung ist in der lokalen Sicherheitsrichtlinie stan-
dardmäßig aktiviert.
„ Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungs-
modus ausführen Diese Einstellung ist in der Standardeinstellung in der lokalen
Sicherheitsrichtlinie aktiviert. Sie bewirkt, dass alle Konten mit Administratorprivilegien
außer dem lokalen Administratorkonto eine Zustimmungs-Eingabeaufforderung ange-
zeigt bekommen, wenn eine Anhebung angefordert wird. Wenn Sie diese Einstellung
deaktivieren, bekommen Administratoren niemals Zustimmungs-Eingabeaufforderung
angezeigt und das Sicherheitscenter zeigt eine Warnmeldung an.
„ Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum
sicheren Desktop wechseln Der sichere Desktop ist ein Feature, das den Bildschirm
verdunkelt und alle Aktivitäten außer der UAC-Eingabeaufforderung einfriert. Es ver-
ringert die Gefahr, dass Malware funktioniert, aber manche Benutzer stört, dass dieses
Feature ihre Arbeit zu sehr verzögert. Wenn diese Richtlinieneinstellung aktiviert ist,
wird auf den sicheren Desktop gewechselt, wenn eine UAC-Eingabeaufforderung er-
Lektion 1: Beseitigen von Malwareproblemen 207

scheint. Ist sie deaktiviert, werden UAC-Eingabeaufforderungen auf dem normalen


Desktop angezeigt. Diese Richtlinieneinstellung ist in der lokalen Sicherheitsrichtlinie
standardmäßig aktiviert.
„ Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenut-
zerstandorte virtualisieren Diese Richtlinieneinstellung ist in der lokalen Sicherheits-
richtlinie standardmäßig aktiviert. Sie verbessert die Kompatibilität zu Anwendungen,
die nicht für die UAC entwickelt wurden. Dazu werden Anforderungen nach geschützten
Ressourcen umgeleitet. Ist die Richtlinieneinstellung deaktiviert, laufen Anwendungen
unter Umständen nicht, wenn sie nicht für die UAC entwickelt wurden.

Deaktivieren der UAC mit der lokalen Sicherheitsrichtlinie oder Gruppenrichtlinien


Mithilfe der lokalen Sicherheitsrichtlinie oder Gruppenrichtlinien können Sie die UAC
deaktivieren. Setzen Sie dazu erst die Richtlinie Benutzerkontensteuerung: Verhalten der
Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungs-
modus auf die Option Erhöhte Rechte ohne Eingabeanforderung. Deaktivieren Sie dann die
Richtlinien Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte
Rechte anfordern und Benutzerkontensteuerung: Alle Administratoren im Administrator-
bestätigungsmodus ausführen. Setzen Sie schließlich die Richtlinie Benutzerkontensteue-
rung: Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer auf
Anforderungen für erhöhte Rechte automatisch ablehnen. Starten Sie nun die Computer
neu, auf denen Sie diese neuen Einstellungen verwenden wollen.

Empfehlungen für die Verwendung von UAC


Halten Sie sich an die folgenden Verfahrensempfehlungen, um von den Sicherheitsvorteilen
der UAC zu profitieren, aber gleichzeitig die Kosten zu minimieren:
„ Lassen Sie UAC auf allen Clientcomputern in Ihrer Organisation aktiviert.
„ Sorgen Sie dafür, dass sich alle Benutzer (insbesondere das IT-Personal) mit Standard-
benutzerprivilegien anmelden.
„ Jeder Benutzer sollte ein einzelnes Konto haben, das nur über Standardbenutzerprivile-
gien verfügt. Geben Sie normalen Domänenbenutzern keine Konten mit administrativen
Privilegien für ihre lokalen Computer.
„ Domänenadministratoren sollten zwei Konten haben: ein Standardbenutzerkonto, mit
dem sie sich an ihrem Computer anmelden, und ein zweites Administratorkonto, mit
dem sie Privilegien anheben können.
„ Schulen Sie Benutzer, dass sie eine UAC-Eingabeaufforderung, die unerwartet erscheint,
nicht einfach bestätigen dürfen. UAC-Eingabeaufforderungen sollten nur erscheinen,
wenn der Benutzer eine Anwendung installiert oder ein Tool startet, das erhöhte Privile-
gien erfordert. Eine UAC-Eingabeaufforderung, die zu einem anderen Zeitpunkt er-
scheint, kann unter Umständen durch Malware generiert worden sein. Wenn ein Be-
nutzer eine solche Eingabeaufforderung zurückweist, verhindert er dadurch, dass die
Malware dauerhafte Änderungen am Computer vornimmt.
208 Kapitel 5: Schützen von Clientsystemen

Schnelltest
Welche Gruppenrichtlinieneinstellung aktivieren Sie, um zu verhindern, dass ausführbare
Dateien, die nicht mit einem vertrauenswürdigen Zertifikat signiert sind, gestartet werden?
Antwort zum Schnelltest
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und über-
prüft sind

Während die UAC ein Satz von Features ist, die zentrale Bereiche des Betriebssystems mög-
lichst umfangreich schützen sollen, konzentriert sich ein anderes Windows 7-Tool, der Win-
dows-Defender, darauf, unerwünschte Software zu erkennen und zu entfernen.

Clients mit Windows-Defender vor Spyware schützen


Windows-Defender ist ein Tool in Windows 7, dessen Aufgabe es ist, Spyware auf einem
Clientsystem zu erkennen und zu entfernen. In der Standardeinstellung ist der Windows-
Defender so konfiguriert, dass er regelmäßig neue Spywaredefinitionen von Windows Up-
date herunterlädt und anhand dieser Definitionen auf dem lokalen System nach Spyware
sucht. In vielen Konstellationen brauchen Sie diese Standardkonfiguration nicht zu ändern.
In großen Netzwerke ist es allerdings oft sinnvoll, einige Features von Windows-Defender
mithilfe von Gruppenrichtlinien zu deaktivieren.

Hinweis Verwenden von Windows-Defender in kleinen Netzwerken


Windows-Defender ist ein simples Antimalwareprogramm, das sich für den Einsatz in kleinen
Netzwerken oder als Übergangslösung vor der Anschaffung einer leistungsfähigeren Anti-
malwarelösung empfiehlt. In großen Netzwerken sollten Sie besser eine zentral verwaltete
Antimalwarelösung verwenden, beispielsweise Microsoft Forefront Client Security.

Sie öffnen Windows-Defender, indem Sie in der Systemsteuerung die Ansicht Große Symbole
auswählen und dann nach unten zum Eintrag Windows-Defender blättern (Abbildung 5.7).
Stattdessen können Sie auch im Suchfeld des Startmenüs defender eingeben und dann Win-
dows-Defender auswählen.
Abbildung 5.8 zeigt das Hauptfenster von Windows-Defender.
In der Standardeinstellung bietet Windows-Defender zwei Arten von Schutz:
„ Automatische Suche Windows-Defender ist in der Standardeinstellung so konfigu-
riert, dass er jede Nacht um 2 Uhr neue Definitionen herunterlädt und dann eine Schnell-
suche nach Spyware ausführt.
„ Echtzeitschutz Mit diesem Feature überwacht der Windows-Defender die Computer-
nutzung ständig in sensiblen Bereichen, etwa den Autostart-Ordner, die Run-Schlüssel in
der Registrierung und Internet Explorer-Add-Ons. Versucht eine Anwendung, Änderun-
gen in einem dieser Bereiche vorzunehmen, fragt der Windows-Defender beim Benutzer
nach, ob der die Änderung erlauben oder verbieten will.
Lektion 1: Beseitigen von Malwareproblemen 209

Abbildung 5.7 Öffnen von Windows-Defender

Abbildung 5.8 Der Windows-Defender sucht automatisch nach Spyware

Neben diesen automatischen Funktionen erlaubt Ihnen der Windows-Defender auch, von
Hand eine Überprüfung des Systems vorzunehmen. Sie starten eine manuelle Überprüfung,
indem Sie im Menü Überprüfung die Befehle Schnellüberprüfung, Vollständige Überprü-
fung oder Benutzerdefinierte Überprüfung wählen (Abbildung 5.9).
210 Kapitel 5: Schützen von Clientsystemen

Abbildung 5.9 Ausführen einer manuellen Überprüfung in Windows-Defender

Diese drei Überprüfungsarten haben folgende Merkmale:


„ Schnellüberprüfung Bei dieser Überprüfung werden nur die Bereiche eines Compu-
ters untersucht, die am häufigsten von Spyware oder anderer potenziell unerwünschter
Software infiziert werden. Zu diesen Bereichen gehören der Arbeitsspeicher des Com-
puters und Teile der Registrierung, die mit Autostartanwendungen verknüpft sind. Eine
Schnellüberprüfung reicht aus, um den Großteil der Spyware zu entdecken.
„ Vollständige Überprüfung Bei dieser Überprüfung werden alle Dateien auf dem
Computer analysiert, darunter gebräuchliche Archivdateien und Anwendungen, die
bereits in den Arbeitsspeicher des Computers geladen sind. Eine vollständige Über-
prüfung dauert üblicherweise mehrere Stunden, unter Umständen ist auch mehr als ein
Tag nötig. Eine vollständige Überprüfung brauchen Sie nur auszuführen, wenn Sie nach
einer Schnellüberprüfung den Verdacht haben, dass der Computer eines Benutzers mit
unerwünschter Software infiziert ist.
„ Benutzerdefinierte Überprüfung Eine benutzerdefinierte Überprüfung beginnt mit
einer Schnellüberprüfung, auf die eine ausführliche Überprüfung bestimmter Teile des
Computers folgt, die Sie individuell auswählen.

Hinweis Sie können auf einem Computer arbeiten, während die Überprüfung läuft
Die Überprüfungen verlangsamen den Computer zwar, aber der Benutzer kann weiterarbei-
ten, während die Überprüfung läuft. Beachten Sie auch, dass Überprüfungen die Akkus von
mobilen Computern stark belasten.

Entfernen gefundener Spyware


Wenn Windows-Defender bei seiner Überprüfung Spyware oder potenziell unerwünschte
Software findet, zeigt er eine Warnung an und bietet Ihnen zu jedem entdeckten Element
vier Möglichkeiten:
Lektion 1: Beseitigen von Malwareproblemen 211

„ Ignorieren Bei dieser Option bleibt die gefundene Software unverändert in Ihrem
Computer. Der Windows-Defender erkennt sie bei seinen nächsten Überprüfungen
wieder. Diese Option ist sinnvoll, wenn Sie die Software, die der Windows-Defender
gefunden hat, selbst untersuchen wollen, bevor Sie sie löschen.
„ Quarantäne Diese Option isoliert die gefundene Software. Wenn der Windows-
Defender Software in Quarantäne schickt, verschiebt er sie an einen anderen Speicherort
in Ihrem Computer und verhindert, dass sie ausgeführt wird, bis Sie entscheiden, ob Sie
die Software wiederherstellen oder vom Computer löschen wollen. Diese Option wird
meist benutzt, wenn die erkannte Software nicht erfolgreich entfernt werden kann.
„ Entfernen Diese Option löscht die gefundene Software von Ihrem Computer. Im Nor-
malfall sollten Sie diese Option verwenden, sofern keine zwingenden Gründe dagegen-
sprechen.
„ Immer zulassen Diese Option fügt die Software zur Liste der zugelassenen Program-
me im Windows-Defender hinzu, sodass sie auf Ihrem Computer ausgeführt werden
darf. Der Windows-Defender warnt Sie künftig nicht mehr vor Aktionen, die das Pro-
gramm ausführt. Sie sollten diese Option nur wählen, wenn Sie der Software und ihrem
Hersteller vertrauen.

Konfigurieren von Windows-Defender mithilfe von Gruppenrichtlinien


In einer AD DS-Umgebung wird empfohlen, Clients mithilfe von Gruppenrichtlinien zu
konfigurieren, statt jeden Computer einzeln einzurichten. Die Gruppenrichtlinieneinstellun-
gen für Windows-Defender finden Sie im Knoten Computerkonfiguration\Richtlinien\Ad-
ministrative Vorlagen\Windows-Komponenten\Windows-Defender eines Gruppenrichtlinien-
objekts (Abbildung 5.10).

Abbildung 5.10 Gruppenrichtlinieneinstellungen für Windows-Defender

Für Windows-Defender stehen die folgenden 7 Richtlinieneinstellungen zur Verfügung:


„ Definitionsaktualisierungen durch WSUS und Windows Update einschalten Wenn
Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren und der Client für
automatische Updates so konfiguriert ist, dass er auf einen WSUS-Server zugreift, ruft
Windows-Defender die Definitionsupdates von Windows Update ab, sofern die Verbin-
dungen zu diesem WSUS-Server fehlschlagen. Wenn Sie diese Einstellung deaktivieren,
sucht Windows-Defender nur anhand der Einstellung, die im Client für automatische
Updates konfiguriert ist; also entweder mithilfe eines internen WSUS-Servers oder über
Windows Update.
212 Kapitel 5: Schützen von Clientsystemen

„ Definitionsaktualisierungen sowohl über WSUS als auch über Microsoft Malware


Protection Center aktivieren Wenn Sie diese Richtlinieneinstellung aktivieren oder
nicht konfigurieren und der Client für automatische Updates so konfiguriert ist, dass er
auf einen WSUS-Server zugreift, sucht Windows-Defender sowohl über WSUS als auch
im Microsoft Malware Protection Center nach Definitionsupdates, falls Verbindungen
zum eingestellten WSUS-Server fehlschlagen. Wenn Sie diese Einstellung deaktivieren,
sucht Windows-Defender nur anhand der Einstellung, die im Client für automatische
Updates konfiguriert ist; also entweder mithilfe eines internen WSUS-Servers oder über
Windows Update.
„ Vor geplanten Scanvorgängen auf neue Signaturen überprüfen Wenn Sie diese
Richtlinieneinstellung aktivieren, sucht Windows-Defender immer nach neuen Defini-
tionen, bevor er eine geplante Überprüfung des Computers beginnt. Wenn Sie diese Ein-
stellung deaktivieren oder nicht konfigurieren, sucht der Windows-Defender nicht nach
neuen Definitionen, sondern beginnt sofort mit der geplanten Überprüfung.
„ Windows-Defender deaktivieren Wenn Sie diese Richtlinieneinstellung aktivieren,
führt Windows-Defender keine Echtzeit- oder geplanten Überprüfungen mehr aus. (Ein
Benutzer kann aber weiterhin manuelle Überprüfungen ausführen.) Sie sollten diese
Einstellung aktivieren, wenn Sie eine leistungsfähigere Antispywarelösung implemen-
tiert haben, beispielsweise Microsoft Forefront Client Security. Wenn Sie diese Richt-
linieneinstellung deaktivieren oder nicht konfigurieren, führt Windows-Defender sowohl
Echtzeitüberprüfungen als auch alle geplanten Überprüfungen aus.
„ Echtzeitüberwachung deaktivieren Wenn Sie diese Richtlinieneinstellung aktivieren,
fordert Windows-Defender den Benutzer nicht automatisch auf, Aktivitäten in geschütz-
ten Bereichen des Betriebssystems zu erlauben oder zu verbieten. Wenn Sie diese Richt-
linieneinstellung deaktivieren oder nicht konfigurieren, fragt Windows-Defender stan-
dardmäßig bei den Benutzern nach, ob sie potenzielle Spywareaktivitäten auf ihrem
Computer erlauben oder unterbinden wollen.
„ Ausführung von Routinemaßnahmen deaktivieren Wenn Sie diese Richtlinienein-
stellung aktivieren, fragt Windows-Defender beim Benutzer nur nach, wie er auf eine
Bedrohung reagieren will, führt aber keine automatische Aktion aus. Wenn Sie diese
Richtlinieneinstellung deaktivieren oder nicht konfigurieren, führt Windows-Defender
etwa 10 Minuten, nachdem er eine Bedrohung entdeckt hat, automatisch eine Aktion
aus.
„ Microsoft SpyNet-Berichterstattung konfigurieren SpyNet ist eine Onlinecommu-
nity, die Informationen über Bedrohungen sammelt, die von den Mitgliedern entdeckt
wurden. SpyNet wertet die Reaktionen der Benutzer auf solche Bedrohungen aus und
stellt auf diese Weise fest, welche ungefährlich und welche böswillig sind.
Wenn Sie diese Richtlinieneinstellung aktivieren und die Option Keine Mitgliedschaft
auswählen, ist die SpyNet-Mitgliedschaft deaktiviert; es werden keine Informationen an
Microsoft gesendet. Wenn Sie die Richtlinieneinstellung aktivieren und die Option Er-
weitert auswählen, wird eine erweiterte SpyNet-Mitgliedschaft eingerichtet; dabei wer-
den Informationen über erkannte Bedrohungen und Ihre Reaktion auf diese Bedrohun-
gen an Microsoft gesendet.
Lektion 1: Beseitigen von Malwareproblemen 213

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist die Spy-
Net-Mitgliedschaft in der Standardeinstellung deaktiviert. Lokale Benutzer können die
Einstellung der Mitgliedschaft allerdings ändern.

Hinweis Verwenden einer startfähigen Antiviren-CD


Wurde ein Computer ernsthaft mit Malware infiziert, läuft er unter Umständen so langsam,
dass es schwierig ist, eine Malwareüberprüfung durchzuführen. In diesem Fall ist es sinn-
voll, eine Offlineüberprüfung von einer startfähigen CD zu starten, sofern Sie eine zur Hand
haben. Indem Sie die Überprüfung außerhalb von Windows ausführen, verhindern Sie, dass
die Malwareprogramme Leistung fressen und das System verlangsamen.

Empfehlungen für die Verwendung von Windows-Defender


Sie sollten die folgenden Empfehlungen befolgen, um von den Sicherheitsvorteilen von
Windows-Defender zu profitieren und gleichzeitig die Kosten zu minimieren:
„ Bevor Sie Windows 7 bereitstellen, sollten Sie alle Anwendungen testen, während Win-
dows-Defender aktiviert ist. So stellen Sie sicher, dass Windows-Defender den Benutzer
nicht wegen normaler Änderungen warnt, die Ihre Anwendungen unter Umständen vor-
nehmen. Falls eine legitime Anwendung Warnungen auslöst, sollten Sie diese Anwendung
zur Liste der zugelassenen Elemente in Windows-Defender hinzufügen.
„ Ändern Sie die geplante Zeit für die Überprüfung so, dass sie sich für Ihr Unternehmen
eignet. In der Standardeinstellung führt Windows-Defender die Überprüfungen um 2 Uhr
nachts durch. Benutzt die Nachtschicht die Computer während dieser Zeit, sollten Sie
nach einem besser geeigneten Termin für die Überprüfung suchen. Sofern Benutzer ihre
Computer ausschalten, während sie nicht im Büro sind, sollten Sie die Überprüfung so
planen, dass sie tagsüber durchgeführt wird.
„ Verwenden Sie WSUS, um Signaturupdates zu verwalten und zu verteilen.
„ Verwenden Sie Antivirensoftware in Kombination mit Windows-Defender. Stattdessen
können Sie Windows-Defender auch völlig deaktivieren und Clientsicherheitssoftware
einsetzen, die sowohl Antispyware- als auch Antivirenfunktionen bietet.
„ Stellen Sie Windows-Defender nicht in großen Unternehmen bereit. Verwenden Sie
stattdessen Forefront oder die Clientsicherheitssuite eines anderen Herstellers, die in
Unternehmensumgebungen einfacher verwaltet werden können.

Weitere Informationen Windows-Defender


Weitere Informationen über Windows-Defender finden Sie im Windows Defender Virtual
Lab Express unter http://www.microsoftvirtuallabs.com/express/registration.aspx?LabId=
92e04589-cdd9-4e69-8b1b-2d131d9037af.

Erkennen, ob ein System mit Malware infiziert ist


Als Supporttechniker in einem großen Unternehmen müssen Sie wissen, wie Sie die Symp-
tome einer Malwareinfektion auf Ihren Clientcomputern erkennen. Für den Fall, dass Ihre
Antiviren- und Antispywaresoftware nicht funktioniert oder keine Malware erkennt, müssen
Sie außerdem wissen, wie Sie Malware von Hand entfernen.
214 Kapitel 5: Schützen von Clientsystemen

Hier einige Zeichen, dass ein Computer von einem Virus, einem Wurm oder einem Trojani-
schen Pferd infiziert wurde:
„ Schlechte Computerleistung
„ Ungewöhnliche Fehlermeldungen
„ Verzerrte Menüs und Dialogfelder
„ Antivirensoftware schaltet sich wiederholt aus.
„ Der Bildschirm friert ein.
„ Der Computer stürzt ab.
„ Der Computer startet sich neu.
„ Anwendungen funktionieren nicht richtig.
„ Auf Festplattenlaufwerke kann nicht zugegriffen werden oder die Schublade eines CD-
Laufwerks öffnet und schließt sich automatisch.
„ Benachrichtigungsmeldungen, dass eine Anwendung versucht, Sie aus dem Internet zu
erreichen
„ Ungewöhnliche Audioausgaben
„ Druckprobleme
Beachten Sie, dass diese Symptome zwar alles klassische Zeichen für eine Infektion sind,
aber auch durch andere Hardware- oder Softwareprobleme ausgelöst werden können, die
nichts mit Malware zu tun haben.
Zeichen für eine Spywareinfektion unterscheiden sich etwas von den anderen Malware-
typen. Wenn Sie eines der folgenden Symptome beobachten, können Sie Spyware vermuten:
„ Eine neue, unerwartete Anwendung erscheint.
„ Unerwartete Symbole tauchen in der Taskleiste auf.
„ Unerwartete Benachrichtigungen erscheinen nahe dem Infobereich der Taskleiste.
„ Startseite, Standardsuchmaschine oder Favoriten im Webbrowser ändern sich.
„ Es erscheinen neue Symbolleisten, vor allem in Webbrowsern.
„ Der Mauszeiger verändert sich.
„ Der Webbrowser zeigt zusätzliche Werbung an, wenn Sie eine Webseite besuchen, oder
Popupwerbung erscheint, während der Benutzer nicht im Web surft.
„ Wenn der Benutzer versucht, eine Webseite zu besuchen, wird er auf eine völlig andere
Webseite umgeleitet.
„ Der Computer läuft langsamer als üblich.
Nicht jede Spyware macht sich durch diese typischen Symptome bemerkbar, aber sie kann
trotzdem persönliche Daten ausspähen.

Beseitigen einer Malwareinfektion


Die wichtigste Gegenmaßnahme im Kampf gegen Malwareinfektionen besteht darin, sie
überhaupt zu verhindern. Führen Sie dazu täglich Antiviren- und Antispywareprogramme
mit den neuesten Virus- und Spywaredefinitionen aus. Findet sich dennoch Malware auf
Lektion 1: Beseitigen von Malwareproblemen 215

einem System, sollten Sie nach Möglichkeit die Antimalwareanwendung verwenden, um die
Malware vom Computer zu löschen. Ist das nicht möglich, sollten Sie die Malware in Qua-
rantäne verbannen. Handelt es sich um ein neues Malwareprogramm, müssen Sie unter
Umständen ein Löschtool ausführen oder die Malware mit mehreren Schritten von Hand
entfernen.
Das alles gilt natürlich für Malware, die erkannt wurde. So wichtig es aber auch ist, Anti-
viren- und Antispyware täglich auszuführen, dürfen Sie nicht vergessen, dass keine Anti-
malwareanwendung absoluten Schutz gibt. Viele Malwareprogramme sind gezielt so ge-
schrieben, dass Antimalwareprogramme sie nicht entdecken. Wenn auch nur ein einziges
böswilliges Programm nach einer Überprüfung zurückbleibt, kann dieses Malwareprogramm
wiederum andere Malware installieren.
Wenn Sie vermuten, dass ein Problem auf Malware zurückzuführen ist, nachdem Sie Anti-
viren- und Antispywareanwendungen mit den neuesten Definitionen ausgeführt haben, sollten
Sie folgendermaßen vorgehen:
1. Wenn Ihnen Änderungen am Windows Internet Explorer auffallen, zum Beispiel uner-
wünschte Add-Ons oder eine neue Startseite, sollten Sie in der Systemsteuerung nach
nicht benötigten Programmen suchen und sie entfernen.
2. Löschen Sie auf der Registerkarte Systemstart des Systemkonfigurationsprogramms
(Msconfig.exe) alle Autostartprogramme, die nicht benötigt werden. Notieren Sie sich
den Registrierungseintrag, der mit diesen Programmen verknüpft ist. (Anhand dieser
Registrierungsdaten können Sie bei Bedarf die zugehörigen Registrierungsschlüssel
löschen.) Deaktivieren Sie auf der Registerkarte Dienste alle unnötigen Dienste.
3. Öffnen Sie den Task-Manager. Prüfen Sie, ob ungewöhnliche Dienste auf der Register-
karte Dienste aufgeführt sind oder die Registerkarte Prozesse ungewöhnliche Prozesse
enthält. (Vergessen Sie nicht, auf Prozesse aller Benutzer anzeigen zu klicken, damit alle
laufenden Prozesse angezeigt werden.) Analysieren Sie mit den Befehlen Zu Prozess
wechseln auf der Registerkarte Dienste und Zu Dienst(en) wechseln auf der Registerkarte
Prozesse, welche Verbindung zwischen Diensten und Prozessen bestehen, die Ihnen un-
bekannt sind. Suchen Sie dann im Web nach Informationen über Dienste und Prozesse,
zu denen Beschreibungen fehlen oder die anderweitig verdächtig wirken. Wenn Sie bei
Ihrer Recherche erfahren, dass Dienste oder Prozesse mit Malware zu tun haben, können
Sie sie mit der rechten Maustaste anklicken und beenden. Deaktivieren Sie dann in der
Konsole Dienste den zugehörigen Dienst, damit er nicht erneut ausgeführt wird.
4. Öffnen Sie den Registrierungs-Editor (Regedit.exe). Wählen Sie den Zweig HKLM\Soft-
ware\Microsoft\Windows\CurrentVersion\Run aus. Sehen Sie sich in der Detailansicht
alle Registrierungswerte an, die mit unerwünscht gestarteten Programmen verknüpft
sind. Schreiben Sie die Pfadnamen der Zieldateien auf, die in der Spalte Daten ange-
geben sind (Abbildung 5.11), und löschen Sie die Registrierungswerte dann. Wechseln
Sie nun in den Zweig HKCU\Software\Microsoft\Windows\CurrentVersion\Run und
gehen Sie dort genauso vor.
5. Suchen Sie anhand der Pfadnamen, die Sie in Schritt 4 aufgeschrieben haben, die Ordner
in der Windows-Dateistruktur und löschen Sie die Zieldateien.
216 Kapitel 5: Schützen von Clientsystemen

Abbildung 5.11 Schreiben Sie sich die Pfadnamen der Dateien auf,
die mit unerwünschten Autostartprogrammen verknüpft sind, und löschen
Sie die Registrierungswerte

6. Falls Sie immer noch Anzeichen für Malware sehen, sollten Sie eine zusätzliche Anti-
spyware- und Antivirenanwendung installieren. Ihre Chancen, alle Spuren von Malware
zu beseitigen, sind besser, wenn Sie mehrere Anwendungen einsetzen. Sie sollten aber
nicht mehrere Anwendungen für den Echtzeitschutz konfigurieren.
7. Falls die Probleme weiterhin bestehen, sollten Sie das System herunterfahren und das
Tool Systemstartreparatur starten, um eine Systemwiederherstellung durchzuführen.
Setzen Sie den Computer in einen Zustand vor der Malwareinfektion zurück. Die
Systemwiederherstellung entfernt normalerweise alle Starteinstellungen, die bewirken,
dass Malwareanwendungen ausgeführt werden. Die ausführbaren Dateien selbst werden
dabei allerdings nicht entfernt. Wählen Sie diese Möglichkeit nur als letzten Ausweg: Die
Systemwiederherstellung entfernt zwar keine persönlichen Dateien des Benutzers, kann
aber Probleme mit kürzlich installierten oder konfigurierten Anwendungen verursachen.
Diese Schritte beseitigen die meisten Malwareprobleme. Sobald aber Malware einmal auf
einem Computer gelaufen ist, können Sie nie mehr völlig sicher sein, dass die Software auch
wirklich vollständig entfernt wurde. Insbesondere Rootkits sind sehr schwierig zu erkennen
und zu entfernen. In Fällen, wo Sie vermuten, dass ein Rootkit vorhanden ist, das sich nicht
entfernen lässt, sind Sie unter Umständen gezwungen, die Festplatte zu formatieren, Win-
dows neu zu installieren und dann die Benutzerdateien aus einer Datensicherung wiederher-
zustellen, die vor der Infektion angefertigt wurde.

Übung Erzwingen einer Antimalwarerichtlinie


mithilfe von Gruppenrichtlinien
In dieser Übung erzwingen Sie mithilfe von Gruppenrichtlinien bestimmte Einstellungen für
UAC und Windows-Defender. Für diese Übungen brauchen Sie einen Domänencontroller,
der unter Windows Server 2008 R2 läuft, und einen Windows 7-Client, der Mitglied der-
selben Domäne ist.

Übung 1 Erzwingen von UAC-Einstellungen mithilfe von Gruppenrichtlinien


In dieser Übung erzwingen Sie neue UAC-Standardeinstellungen auf den Windows 7-
Computern in der Domäne.
1. Melden Sie sich am Domänencontroller DC1 an.
2. Öffnen Sie die Gruppenrichtlinienverwaltung, indem Sie im Startmenü auf Alle Pro-
gramme, Verwaltung und schließlich Gruppenrichtlinienverwaltung klicken.
Lektion 1: Beseitigen von Malwareproblemen 217

3. Wählen Sie in der Konsolenstruktur von Gruppenrichtlinien den Knoten Gruppenricht-


linienverwaltung\Gesamtstruktur: nwtraders.msft\Domänen\nwtraders.msft\Default
Domain Policy aus.
4. Klicken Sie mit der rechten Maustaste auf Default Domain Policy und wählen Sie im
Kontextmenü den Befehl Bearbeiten. Der Gruppenrichtlinienverwaltungs-Editor wird
geöffnet.
5. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor den Knoten Default Domain
Policy\Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstel-
lungen\Lokale Richtlinien\Sicherheitsoptionen aus.
6. Klicken Sie in der Detailansicht doppelt auf Benutzerkontensteuerung: Bei Benutzerauf-
forderung nach erhöhten Rechten zum sicheren Desktop wechseln.
7. Aktivieren Sie auf der Registerkarte Sicherheitsrichtlinie das Kontrollkästchen Diese
Richtlinieneinstellung definieren und wählen Sie die Option Deaktiviert aus. Klicken Sie
auf OK.
8. Klicken Sie in der Detailansicht doppelt auf Benutzerkontensteuerung: Verhalten der
Eingabeaufforderung für erhöhte Rechte für Standardbenutzer.
9. Aktivieren Sie auf der Registerkarte Sicherheitsrichtlinie das Kontrollkästchen Diese
Richtlinieneinstellung definieren und wählen Sie in der Dropdownliste den Eintrag Ein-
gabeaufforderung zu Anmeldeinformationen aus.
Diese Einstellungen bewirken, dass für UAC-Eingabeaufforderungen nicht mehr der
sichere Desktop verwendet wird.
10. Klicken Sie auf OK.
11. Wechseln Sie auf Ihren Windows 7-Client CLIENT1. Starten Sie den Computer neu und
melden Sie sich als Domänenadministrator an der Domäne an.
12. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, indem Sie im Startmenü
Alle Programme\Zubehör öffnen, mit der rechten Maustaste auf Eingabeaufforderung
klicken und im Kontextmenü den Befehl Als Administrator ausführen wählen.
13. Es wird eine Zustimmungs-Eingabeaufforderung angezeigt, aber ohne sicheren Desktop.
14. Melden Sie sich vom Client ab und dann erneut an der Domäne an, diesmal aber als
Standardbenutzer ohne administrative Privilegien.
15. Klicken Sie in der Systemsteuerung unter Benutzerkonten auf Kontotyp ändern. Eine
Eingabeaufforderung nach Anmeldeinformationen wird angezeigt, aber ohne sicheren
Desktop.
16. Melden Sie sich vom Client ab.

Übung 2 Deaktivieren der Echtzeitüberwachung für Windows-Defender


Ein großes Unternehmensnetzwerk sollte eine verwaltete Antispywarelösung einsetzen.
Windows-Defender erfüllt diese Anforderung nicht. Es ist sinnvoll, Windows-Defender als
zusätzliche Lösung eine tägliche Malwaresuche auf Clients durchführen zu lassen, aber Sie
sollten verhindern, dass zwei Anwendungen gleichzeitig eine Echtzeitüberwachung durch-
führen. Sofern Ihre verwaltete Antispywarelösung Echtzeitüberwachung bietet, sollten Sie
dasselbe Feature in Windows-Defender mithilfe von Gruppenrichtlinien deaktivieren.
218 Kapitel 5: Schützen von Clientsystemen

In dieser Übung deaktivieren Sie mithilfe von Gruppenrichtlinien die Echtzeitüberwachung


von Windows-Defender.
1. Melden Sie sich am Domänencontroller an.
2. Öffnen Sie, wie in Übung 1 beschrieben, die Gruppenrichtlinienverwaltung und bearbei-
ten Sie Default Domain Policy.
3. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor den Knoten Default Domain
Policy\Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Kompo-
nenten\Windows-Defender aus.
4. Klicken Sie in der Detailansicht doppelt auf Echtzeitüberwachung deaktivieren.
5. Wählen Sie im Dialogfeld Echtzeitüberwachung deaktivieren die Option Aktiviert aus
und klicken Sie auf OK.
6. Wechseln Sie auf CLIENT1. Melden Sie sich auf CLIENT1 als Domänenadministrator
an der Domäne an.
7. Öffnen Sie eine Eingabeaufforderung und geben Sie gpupdate ein. Nun müsste eine
Benachrichtigung erscheinen, dass Windows-Defender ausgeschaltet ist.
8. Warten Sie, bis der Befehl ausgeführt wurde, geben Sie dann im Suchfeld des Start-
menüs defender ein und klicken Sie in der Programmliste auf Windows-Defender.
9. Klicken Sie im Windows-Defender auf Extras und dann auf Optionen.
10. Wählen Sie in der Liste Optionen den Eintrag Echtzeitschutz aus.
11. Die Einstellungen werden abgeblendet dargestellt. Die Echtzeitüberwachung ist deakti-
viert.
12. Wechseln Sie wieder auf den Domänencontroller und bearbeiten Sie Default Domain
Policy. Setzen Sie die Richtlinieneinstellung Echtzeitüberwachung deaktivieren auf
Nicht konfiguriert zurück und klicken Sie auf OK.
13. Führen Sie auf CLIENT1 erneut gpupdate aus und schließen Sie dann alle offenen
Fenster auf beiden Computern.

Zusammenfassung der Lektion


„ UAC hilft zu verhindern, dass sich Malware heimlich auf Windows-Systemen installiert.
Der Benutzer wird benachrichtigt, wenn versucht wird, in einen geschützten Bereich des
Betriebssystems zu schreiben. Die Benutzer müssen geschult werden, die Operationen
zu verbieten, wenn sie sie nicht selbst veranlasst haben.
„ Sie können das Verhalten von UAC-Benachrichtigungen konfigurieren. In der Standard-
einstellung bekommen Administratoren Zustimmungs-Eingabeaufforderungen auf dem
sicheren Desktop angezeigt, wenn ein Programm eine Anhebung anfordert. Standard-
benutzer erhalten in der Standardeinstellung eine Eingabeaufforderung nach Anmelde-
informationen auf dem sicheren Desktop, wenn sie oder ein Programm eine Anhebung
anfordert.
„ Windows-Defender ist ein integriertes Feature von Windows 7, das eine einfache Spy-
warefilterung und -erkennung bietet. In vielen Fällen braucht Windows-Defender nicht
konfiguriert zu werden, aber in großen Netzwerken, die eine verwaltete Antispyware-
lösung brauchen, ist es oft sinnvoll, Windows-Defender zu deaktivieren.
Lektion 1: Beseitigen von Malwareproblemen 219

„ Sie sollten von Hand nach Malware suchen und sie entfernen, falls Ihre Antimalware-
lösung nicht wunschgemäß funktioniert. Untersuchen Sie dazu unbekannte Prozesse und
Dienste, beenden und deaktivieren Sie sie bei Bedarf und suchen Sie in der Registrie-
rung nach Programmen, die automatisch gestartet werden. Löschen Sie die zugehörigen
Dateien.

Lernzielkontrolle
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1,
»Beseitigen von Malwareproblemen«, überprüfen. Die Fragen finden Sie (in englischer
Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen
eines Übungstests beantworten.

Hinweis Die Antworten


Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglich-
keiten richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs.

1. Sie arbeiten als Supporttechniker in einem großen Unternehmen. Ihre Chefin berichtet,
dass manche Netzwerkadministratoren das eingebaute Administratorkonto für die Do-
mäne benutzen. Während sie mit diesem Konto angemeldet sind, bekommen sie keine
UAC-Benachrichtigungen angezeigt. Ihre Chefin beauftragt Sie, die Konfigurationsein-
stellungen so zu ändern, dass Benutzer, die mit dem integrierten Administratorkonto an
der Domäne angemeldet sind, Zustimmungs-Eingabeaufforderungen der UAC angezeigt
bekommen. Was sollten Sie tun?
A. Setzen Sie in der lokalen Sicherheitsrichtlinie die Richtlinie Benutzerkontensteue-
rung: Administratorbestätigungsmodus für das integrierte Administratorkonto auf
Aktiviert.
B. Setzen Sie in Gruppenrichtlinien die Richtlinie Benutzerkontensteuerung: Adminis-
tratorbestätigungsmodus für das integrierte Administratorkonto auf Aktiviert.
C. Setzen Sie in der lokalen Sicherheitsrichtlinie die Richtlinie Benutzerkontensteue-
rung: Alle Administratoren im Administratorbestätigungsmodus ausführen auf
Aktiviert.
D. Setzen Sie in Gruppenrichtlinien die Richtlinie Benutzerkontensteuerung: Alle
Administratoren im Administratorbestätigungsmodus ausführen auf Aktiviert.
2. Sie arbeiten als Supporttechniker in einem Unternehmen, dessen AD DS-Domäne 20
Server umfasst, die unter Windows Server 2008 R2 laufen, und 500 Clientcomputer, die
unter Windows 7 laufen. 10 der Clientcomputer sind Notebooks, deren Benutzer weltweit
dienstlich unterwegs sind. Diese Benutzer haben sich beschwert, dass Windows-Defender
oft mit einer Überprüfung beginnt, wenn der Computer im Akkubetrieb arbeitet, was den
Akku schnell leert. Sie wollen verhindern, dass Windows-Defender dringend benötigten
Akkustrom verbraucht, aber andererseits nicht auf die Schutzfunktionen des Programms
verzichten. Was sollten Sie tun?
A. Zeigen Sie den Benutzern, wie sie eine manuelle Überprüfung durchführen, während
ihr Computer an der Steckdose hängt.
B. Wählen Sie die Option aus, eine Überprüfung nur im Leerlauf auszuführen.
220 Kapitel 5: Schützen von Clientsystemen

C. Zeigen Sie den Benutzern, wie sie den Zeitplan für die automatische Überprüfung
ändern.
D. Deaktivieren Sie die automatische Überprüfung auf allen 10 Computern.

Rückblick auf dieses Kapitel


Sie können die in diesem Kapitel erworbenen Fähigkeiten folgendermaßen einüben und
vertiefen:
„ Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.
„ Lesen Sie die Liste der Schlüsselbegriffe durch, die in diesem Kapitel eingeführt wurden.
„ Arbeiten Sie die Übung mit Fallbeispiel durch. Dieses Szenario beschreibt Fälle aus der
Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden auf-
gefordert, eine Lösung zu entwickeln.
„ Führen Sie die vorgeschlagenen Übungen durch.
„ Machen Sie einen Übungstest.

Zusammenfassung des Kapitels


Um Malware abzuwehren, müssen Sie sich selbst und die Benutzer kontinuierlich über
die neuesten Entwicklungen bei diesen Bedrohungen schulen. Außerdem müssen Sie
Antivirensoftware, Antispywaresoftware wie Windows-Defender und die Benutzerkon-
tensteuerung sinnvoll verwalten. Und schließlich müssen Sie wissen, wie Sie klassische
Symptome einer Infektion erkennen und eine Infektion bei Bedarf von Hand beseitigen.

Schlüsselbegriffe
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten über-
prüfen, indem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.
„ Malware
„ Spyware
„ Virus
„ Wurm

Übung mit Fallbeispiel


In der folgenden Übung mit Fallbeispiel wenden Sie an, was Sie über den Schutz von Client-
systemen gelernt haben. Die Lösungen zu den Fragen finden Sie im Abschnitt »Antworten«
hinten in diesem Buch.

Übung mit Fallbeispiel 1: Beseitigen von Malwareinfektionen


Sie arbeiten als Supporttechniker für Contoso, ein Marktforschungsunternehmen mit 500
Angestellten. Sie bekommen einen Anruf vom Helpdesk und werden gebeten, den Notebook
eines Forschungsassistenten zu untersuchen. Dieser Computer läuft nur sehr langsam. Der
Supporttechniker des Helpdesks war nicht in der Lage, das Problem zu beseitigen.
Vorgeschlagene Übungen 221

Sie führen einige grundlegende Tests auf dem Computer aus und stellen fest, dass im Internet
Explorer mehrere Symbolleisten installiert sind, die Sie als Spyware erkennen. Ihr Unter-
nehmen setzt eine kombinierte Antiviren-/Antispywarelösung ein, Windows-Defender ist im
Netzwerk deaktiviert.
Sie befragen den Forschungsassistenten und den Helpdesk-Supporttechniker.

Recherche
Hier die Aussagen der Unternehmensmitarbeiter, die Sie befragt haben:
„ Forschungsassistent »Das Problem wird seit etwa 6 Monaten immer schlimmer.
Inzwischen brauchen selbst Kleinigkeiten eine Ewigkeit. Ich habe diesen Computer
früher oft mit nach Hause genommen, aber inzwischen mache ich das nicht mehr.«
„ Helpdesk-Supporttechniker »Ich habe versucht, eine Antimalwareprüfung auszu-
führen, aber es scheint sich nichts zu tun.«

Fragen
1. Sie wollen sofort jegliche Malware beenden, die unter Umständen läuft. Wie erreichen
Sie das?
2. Ihre Tests zeigen, dass die Clientsoftware der Antimalwarelösung, die auf dem Computer
installiert ist, nicht läuft, wenn sie gestartet wird. Was können Sie tun, um eine Antimal-
wareüberprüfung auf dem Computer auszuführen?

Vorgeschlagene Übungen
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die in diesem Kapitel behan-
delten Prüfungsziele meistern wollen.

Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware


Arbeiten Sie die folgenden Übungen durch, um sich mit Tools vertraut zu machen, die
Malware erkennen und beseitigen.
„ Übung 1 Suchen Sie im Web nach dem Begriff »Sysinternals Suite« oder besuchen Sie
http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx. Laden Sie die Sysinter-
nals-Suite herunter und entpacken Sie die Datei. Suchen Sie in diesem Programmpaket
nach Autoruns. Führen Sie Autoruns aus, um festzustellen, welche Programme so kon-
figuriert sind, dass sie auf Ihrem Computer automatisch gestartet werden. Suchen Sie
dann Rootkitrevealer und führen Sie es aus, um festzustellen, ob sich irgendwelche
Rootkits auf Ihrem System eingenistet haben.
„ Übung 2 Suchen Sie im Web nach dem Begriff »bootable anti-malware CD« (start-
fähige Antimalware-CD) und sehen Sie sich an, welche startfähigen Antimalware-CDs
online verfügbar sind. Erstellen Sie eine startfähige Antimalware-CD oder laden Sie eine
fertige herunter. Führen Sie damit eine Malwareüberprüfung auf Ihrem System durch.
222 Kapitel 5: Schützen von Clientsystemen

Machen Sie einen Übungstest


Die Übungstests (in englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahl-
reiche Möglichkeiten. Zum Beispiel können Sie einen Test machen, der ausschließlich die
Themen aus einem Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten
Inhalt der Prüfung 70-685 testen. Sie können den Test so konfigurieren, dass er dem Ablauf
einer echten Prüfung entspricht, oder Sie können einen Lernmodus verwenden, in dem Sie
sich nach dem Beantworten einer Frage jeweils sofort die richtige Antwort und Erklärungen
ansehen können.

Weitere Informationen Übungstests


Einzelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, finden Sie im
Abschnitt »So benutzen Sie die Übungstests« in der Einführung am Anfang dieses Buchs.
223

K A P I T E L 6

Konfigurieren und Problembehandlung


von Remotezugriffsverbindungen

Als Supporttechniker in einem Großunternehmen gehört es möglicherweise zu Ihren


Aufgaben, Remotebenutzern zu helfen, die keine Verbindung zum Unternehmensnetzwerk
herstellen können. Am häufigsten greifen Benutzer von einem anderen Standort auf das
Unternehmensnetzwerk zu, indem sie ein virtuelles privates Netzwerk (Virtual Private Net-
work, VPN) nutzen. In Windows Server 2008 R2 und Windows 7 hat Microsoft allerdings
DirectAccess eingeführt, eine stark verbesserte Alternative zu VPNs. Um Probleme im Be-
reich des Remotezugriffs zu beseitigen, müssen Sie die Komponenten kennen, aus denen
sich eine VPN- und DirectAccess-Infrastruktur zusammensetzt, und wissen, wie diese Kom-
ponenten zusammenspielen, wenn ein Benutzer versucht, eine Remotezugriffsverbindung
aufzubauen.

Prüfungslernziele in diesem Kapitel:


„ Untersuchen und Beseitigen von Remotezugriffsproblemen

Lektionen in diesem Kapitel:


„ Lektion 1: Grundlagen von VPN-Clientverbindungen . . . . . . . . . . . . . . . . . . . . . . 225
„ Lektion 2: Grundlagen von DirectAccess-Clientverbindungen . . . . . . . . . . . . . . . . 254

Bevor Sie beginnen


Um die Übungen in diesem Kapitel durcharbeiten zu können, brauchen Sie:
„ Einen Domänencontroller, der unter Windows Server 2008 R2 läuft
„ Einen Client mit Windows 7 Enterprise, der Mitglied der Domäne ist
„ Grundkenntnisse zu IPv6
224 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

Praxistipp
J.C. Mackin
Das in Windows 7 und Windows Server 2008 R2 eingeführte DirectAccess ist das erste
wesentliche Feature von Windows, das ausschließlich auf IPv6 aufbaut und mit IPv4
schlicht und einfach nicht funktioniert. Sie sollten die Einführung dieses Features als
Weckruf begreifen. Bisher betrachten viele IT-Experten IPv6 als Thema, um das sie sich
auch noch morgen kümmern können, und viele deaktivieren IPv6 sogar, weil sie fälsch-
licherweise glauben, dass es die Netzwerkleistung verschlechtert (stimmt nicht!). Dass so
viele IPv6 links liegen lassen, ist nicht weiter überraschend: IPv6 ist schon seit langer
Zeit eine Technologie der Zukunft.
Die Zukunft ist aber jetzt. Die IANA (Internet Assigned Numbers Authority), von der die
Vergabe der IP-Adressen verwaltet wird, schätzt, dass schon 2011 keine neuen IPv4-
Adressen mehr verfügbar sind. Schon sehr bald wird IPv6 daher ein Eckpfeiler der Netz-
werktechnologie werden, und das auch bleiben. Ich empfehle Ihnen, dieses Thema ernst
zu nehmen und sich so bald wie möglich mit der IPv6-Adressierung vertraut zu machen.
Als gute Einführung in IPv6 für Windows-Netzwerke empfehle ich Understanding IPv6,
Second Edition (Microsoft Press, 2008) von Joseph Davies.
Lektion 1: Grundlagen von VPN-Clientverbindungen 225

Lektion 1: Grundlagen von VPN-Clientverbindungen


Die meisten Remotebenutzer greifen mithilfe von VPN auf ein Unternehmensnetzwerk zu,
daher müssen Sie für die Problembehandlung im Bereich des Remotezugriffs eigentlich
wissen, wie VPNs arbeiten. Es ist allerdings nicht ganz einfach, sich in dieses Thema ein-
zuarbeiten. Die erfolgreiche Aushandlung einer VPN-Verbindung hängt von vielen Faktoren
ab, darunter der richtigen Konfiguration der VPN-Infrastruktur, der Benutzer- und/oder
Computerauthentifizierung und der Benutzerautorisierung. Abgesehen von der generellen
Komplexität des VPN-Verbindungsprozesses stellen Windows 7 und Windows Server 2008
R2 auch noch unterschiedliche VPN-Typen zur Verfügung, die jeweils andere Anforderun-
gen, Vorteile und Nachteile haben.
Diese Lektion beginnt mit einem Überblick über VPNs und beschreibt dann die Komponen-
ten, aus denen eine VPN-Verbindung besteht. Darauf folgen ein Überblick über die verschie-
denen VPN-Typen und eine Erklärung, mit welchen Schritten eine VPN-Remotezugriffsver-
bindung aufgebaut wird. Den Abschluss bildet eine allgemeine Checkliste für die Problem-
behandlung von Remotezugriff-VPNs.

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
„ Beschreiben der Elemente in einer VPN-Infrastruktur
„ Beschreiben von Vor- und Nachteilen der VPN-Typen, die in Windows-Netzwerken zur
Verfügung stehen
„ Beschreiben des VPN-Verbindungsaufbaus
„ Durchführen einer Problembehandlung für VPN-Konnektivität
Veranschlagte Zeit für diese Lektion: 120 Minuten

Grundlagen von VPNs


Ein VPN ist eine private, verschlüsselte Netzwerkverbindung, die das öffentliche Internet
durchläuft. Normalerweise wird ein VPN eingesetzt, um entweder zwei Niederlassungen
miteinander zu verbinden (das sogenannte Standortverbindungs-VPN) oder es Remotecom-
putern zu ermöglichen, auf ein zentrales Büronetzwerk zuzugreifen. Im Fall eines Standort-
verbindungs-VPNs (siehe Abbildung 6.1) ist für die Clients keine besondere Konfiguration
erforderlich. Das Aushandeln der privaten Verbindung für solche VPNs übernehmen VPN-
Server in den beteiligten Standorten. Die Clients in den unterschiedlichen Standorten kom-
munizieren genauso miteinander wie mit Clients innerhalb desselben Standorts.
Bei einem Remotezugriff-VPN muss der Windows 7-Client dagegen so konfiguriert sein,
dass er eine Verbindung zum VPN-Server aushandelt. Aus diesem Grund wird in Prüfung
70-685 nur das Remotezugriff-VPN behandelt. Abbildung 6.2 zeigt den Aufbau eines
Remotezugriff-VPNs.
226 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

Abbildung 6.1 Ein Standortverbindungs-VPN

Abbildung 6.2 Ein Remotezugriff-VPN

Grundlagen von VPN-Kapselung und -Tunneln


Ein VPN nimmt die Kommunikationsdaten entgegen, die zwischen den Computern ausge-
tauscht würden, befänden sie sich im selben Netzwerk. Dann verschlüsselt das VPN diese
Kommunikationsdaten und kapselt sie zusammen mit ergänzenden Netzwerkdaten, die
gebraucht werden, um das Internet zu durchlaufen. Das Ergebnis dieser Kapselung ist, dass
das physische Netzwerk, durch das die vertraulichen Daten gesendet werden, für die beiden
Endpunkte der Kommunikation praktisch unsichtbar wird. In Abbildung 6.3 sind zwei Com-
puter, Computer1 und Computer2, im Grunde nur über das Internet miteinander verbunden,
aber die Transparenz dieser Verbindung zeigt sich, wenn auf einem dieser Computer der
Befehl Tracert ausgeführt wird. Obwohl viele Abschnitte zwischen den beiden Computern
liegen, scheinen sie auf der VPN-Verbindung nur einen Abschnitt voneinander entfernt zu
sein. Die Kommunikation findet zwischen den zwei privaten IP-Adressen im Subnetz
192.168.10.0/24 statt, genau wie bei Computern, die im selben Netzwerksegment liegen.
Lektion 1: Grundlagen von VPN-Clientverbindungen 227

Abbildung 6.3 Bei einer VPN-Verbindung sieht es aus, als wären Remotecomputer lokal vorhanden

Diese Technik, vertrauliche Daten innerhalb öffentlicher Daten zu kapseln, wird als Tunnel
(engl. tunneling) bezeichnet. Ein VPN-Tunnelprotokoll baut einen sicheren Kanal zwischen
zwei VPN-Servern beziehungsweise zwischen einem VPN-Server und einem VPN-Client
auf. Innerhalb eines VPN-Tunnels werden die Daten durch Verschlüsselung geschützt, wäh-
rend sie das öffentliche Netzwerk durchqueren. Private Daten werden verschlüsselt, bevor
228 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

sie in den Tunnel gesendet werden. Haben sie das Ende des Tunnels erreicht, werden sie
wieder entschlüsselt.
Die meisten VPN-Tunnelprotokolle führen außerdem eine Datenauthentifizierung durch, um
die Daten auf zwei Arten zu überprüfen. Erstens können Tunnelprotokolle eine Dateninte-
gritätsprüfung durchführen, die sicherstellt, dass die Daten unterwegs nicht manipuliert wur-
den. Zweitens können sie die Datenherkunft authentifizieren, um sicherzustellen, dass die
Daten tatsächlich vom angegebenen Absender stammen.

Grundlagen der Remotezugriff-VPN-Infrastruktur


Um VPN-Clients Remotezugriff bieten zu können, muss ein Windows-Netzwerk mehrere
Features implementieren (Abbildung 6.4). Auf jeden Fall müssen der VPN-Client und die
Clientsoftware (beziehungsweise eine Netzwerkverbindung in Windows), ein VPN-Server,
auf dem die Routing- und RAS-Dienste (Routing and Remote Access Services, RRAS) lau-
fen, sowie ein interner DNS-Server vorhanden sein. Meist umfasst eine VPN-Infrastruktur
aber auch noch einen Domänencontroller, einen Zertifikatserver und einen DHCP-Server.
Und schließlich kann noch ein Netzwerkrichtlinienserver (Network Policy Server, NPS)
verwendet werden. Der nächste Abschnitt beschreibt die Rollen dieser VPN-Infrastruktur-
komponenten.

Abbildung 6.4 Eine VPN-Infrastruktur

VPN-Client und Clientsoftware


Damit ein Windows 7-Computer als VPN-Client agieren kann, muss Windows mit VPN-
Clientsoftware konfiguriert sein. Generell stehen für VPN-Clients drei Typen zur Auswahl:
eine Windows 7-VPN-Verbindung, ein Verbindungs-Manager-Client oder ein Client eines
anderen Herstellers.
Als erste Möglichkeit können Sie in Windows 7 eine VPN-Verbindung im Netzwerk- und
Freigabecenter konfigurieren. Klicken Sie dazu auf Neue Verbindung oder neues Netzwerk
einrichten (Abbildung 6.5).
Lektion 1: Grundlagen von VPN-Clientverbindungen 229

Abbildung 6.5 Erstellen einer VPN-Verbindung in Windows 7

Daraufhin öffnet sich der Assistent Eine Verbindung oder ein Netzwerk einrichten. Wählen
Sie Verbindung mit dem Arbeitsplatz herstellen aus, wenn Sie eine VPN-Verbindung her-
stellen wollen (Abbildung 6.6), und folgen Sie dann den Anweisungen des Assistenten.

Abbildung 6.6 Der Assistent Eine Verbindung oder ein Netzwerk einrichten

Sobald Sie den Assistenten abgeschlossen haben, zeigt Windows 7 die neue VPN-Verbin-
dung im Fenster Netzwerkverbindungen an, das Sie öffnen, indem Sie im Netzwerk- und
Freigabecenter auf Adaptereinstellungen ändern klicken. Abbildung 6.7 zeigt eine Win-
dows 7-VPN-Verbindung.
230 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

Abbildung 6.7 Eine VPN-Verbindung

Dieser erste Typ VPN-Client ist zwar auf einem einzelnen Computer einfach zu erstellen
und zu konfigurieren, aber in Windows ist kein Mechanismus eingebaut, um in einem großen
Netzwerk viele solcher VPN-Clients einzurichten. Stattdessen verwenden viele Administra-
toren das Verbindungs-Manager-Verwaltungskit (Connection Manager Administration Tool-
kit, CMAK), um Clientverbindungsprofile zu erstellen, die als Verbindungs-Manager-Clients
verteilt und installiert werden können. Diese Methode hat den Vorteil, dass Benutzer VPN-
Clients anhand des Profils erstellen und installieren können, ohne dass dafür technische
Kenntnisse vorhanden sein müssen. Als dritte Möglichkeit kann auf Clientdesktops mithilfe
von Gruppenrichtlinien oder anderen Methoden die VPN-Clientsoftware eines anderen Her-
stellers bereitgestellt werden.

Hinweis Was sind der Verbindungs-Manager und das Verbindungs-Manager-Verwaltungskit?


Der Verbindungs-Manager ist ein Tool für Clientnetzwerkverbindungen. Ein Benutzer kann
damit eine Verbindung zu einem Remotenetzwerk aufbauen, etwa einem Unternehmens-
netzwerk, das durch einen VPN-Server geschützt wird.
Das Verbindungs-Manager-Verwaltungskit ist ein Feature in Windows Server 2008, das Sie
im Assistenten "Feature hinzufügen" installieren können. Sie können damit für Remotebe-
nutzer die Erstellung vordefinierter Verbindungen zu Remoteservern und -netzwerken auto-
matisieren.
Um einen Verbindungs-Manager-Client für Ihre Benutzer zu erstellen und anzupassen, ver-
wenden Sie den Assistenten für das Microsoft Verbindungs-Manager-Verwaltungskit. In
diesem Assistenten automatisieren Sie viele Aspekte einer Verbindung (beispielsweise die
IP-Adresse des VPN-Servers), sodass die Benutzer sich nicht selbst um derartige technische
Details zu kümmern brauchen.

VPN-Server
Der VPN-Server in einer Windows-VPN-Infrastruktur führt RRAS aus. In Windows Server
2008 ist dies ein Rollendienst der Serverrolle Netzwerkrichtlinien- und Zugriffsdienste. Ser-
ver, die mit RRAS konfiguriert sind, nehmen Anforderungen von Remotezugriffsbenutzern
aus dem Internet entgegen, authentifizieren diese Benutzer, autorisieren die Verbindungs-
anforderungen und blockieren schließlich die Anforderungen oder leiten die Verbindungen
in interne Segmente des privaten Netzwerks weiter.
Lektion 1: Grundlagen von VPN-Clientverbindungen 231

Hinweis Authentifizierung und Autorisierung beim Remotezugriff


Authentifizierung ist der Vorgang, bei dem der Benutzer überprüft wird. Dabei werden ein
Kennwort oder andere Anmeldeinformationen wie ein Zertifikat oder eine Smartcard über-
prüft. So wird sichergestellt, dass der Benutzer wirklich ist, wer er zu sein vorgibt.
Während bei der Authentifizierung Benutzeranmeldeinformationen überprüft werden, ist die
Autorisierung der Vorgang, mit dem einem Benutzer der Zugriff auf Ressourcen erlaubt wird.
Sobald die Remotezugriffsauthentifizierung abgeschlossen ist, wird die Remotezugriffsver-
bindung nur autorisiert, wenn sowohl auf der Registerkarte Einwählen im Eigenschaften-
dialogfeld des Benutzerkontos (mehr dazu im Abschnitt »Domänencontroller« weiter unten
in dieser Lektion) als auch in der Netzwerkrichtlinie, die für die Verbindung gilt, passende
Berechtigungen konfiguriert sind.

Für die Authentifizierung kann RRAS so konfiguriert werden, dass es die Authentifizierungs-
anforderung an einen RADIUS-Server (bei Verwendung des Netzwerkrichtlinienservers)
weiterleitet oder auf die Windows-Authentifizierung zurückgreift. Wenn die Windows-
Authentifizierung verwendet wird und der lokale VPN-Server kein Mitglied einer Domäne
ist, authentifiziert RRAS die Benutzer, indem es die empfangenen Anmeldeinformationen
mit denen vergleicht, die in seiner lokalen SAM-Datenbank (Security Account Manager)
gespeichert sind. Wenn dagegen Windows-Authentifizierung verwendet wird und der lokale
VPN-Server Mitglied einer Domäne ist, übergibt RRAS die Benutzeranmeldeinformationen
an einen verfügbaren Domänencontroller.

Hinweis Die Remotezugriffsauthentifizierung verläuft getrennt von der Authentifizierung


für die Domänenanmeldung
Die Remotezugriffsauthentifizierung kommt vor der Authentifizierung für die Domänen-
anmeldung. Versucht ein VPN-Benutzer, sich im Remotezugriff an einer Domäne anzumel-
den, muss die VPN-Verbindung authentifiziert, autorisiert und aufgebaut sein, bevor die
normale Domänenanmeldung durchgeführt wird.

Sind die Anmeldeinformationen, die in der Remotezugriffsverbindung übergeben wurden,


erfolgreich authentifiziert, muss die Verbindung autorisiert werden. Die Remotezugriffs-
autorisierung umfasst zwei Schritte: Erst werden die Einwähleigenschaften des Benutzer-
kontos überprüft, das in der VPN-Verbindung angegeben ist. Dann wird die erste passende
Netzwerkrichtliniendefinition auf dem VPN-Server angewendet (oder auf dem Netzwerk-
richtlinienserver, wenn RRAS so konfiguriert ist, dass es RADIUS-Authentifizierung ver-
wendet).

Hinweis Was sind Netzwerkrichtlinien?


Netzwerkrichtlinien definieren verschiedene Verbindungstypen anhand ausgewählter Bedin-
gungen, etwa abhängig davon, in welchen Windows-Gruppen der Benutzer Mitglied ist, ob
Integritätsrichtlinien erfüllt sind oder welches Betriebssystem der Client ausführt. Dann wer-
den Anforderungen, die diesen Bedingungen entsprechen, entweder erlaubt oder verweigert.
Netzwerkrichtlinien können in RRAS oder in NPS definiert sein. Abbildung 6.8 zeigt, wie
Netzwerkrichtlinien konfiguriert werden.
232 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

Abbildung 6.8 Netzwerkrichtlinien dienen dazu, Verbindungsanforderungen zu autorisieren

DNS-Server
VPN-Clients, die eine Verbindung zu einem privaten Netzwerk herstellen, müssen mit der
Adresse eines internen DNS-Servers konfiguriert sein, der die Namen von Ressourcen in
diesem privaten Netzwerk auflöst. Normalerweise übernimmt der Domänencontroller, der
den Remotezugriffsbenutzer authentifiziert, auch die Aufgabe des DNS-Servers.

Abbildung 6.9 Einstellen der Netzwerkzugriffs-


berechtigung eines Benutzerkontos

Domänencontroller
In einer VPN-Infrastruktur wird üblicherweise ein Domänencontroller eingesetzt, um Benut-
zer, die versuchen, über das VPN eine Verbindung zum Unternehmensnetzwerk herzustellen,
zu authentifizieren und zu autorisieren. Neben der Authentifizierung der Benutzeranmelde-
Lektion 1: Grundlagen von VPN-Clientverbindungen 233

informationen übernimmt der Domänencontroller auch die Aufgabe, das Benutzerkonto für
den Remotezugriff zu autorisieren. Damit ein Benutzerkonto für den Remotezugriff autori-
siert ist, muss es mit der Netzwerkzugriffsberechtigung Zugriff gestatten oder Zugriff über
NPS-Netzwerkrichtlinien steuern konfiguriert sein.
Sie konfigurieren die Netzwerkzugriffsberechtigung für einen einzelnen Benutzer in der
Konsole Active Directory-Benutzer und -Computer auf der Registerkarte Einwählen im
Eigenschaftendialogfeld des Benutzerkontos (Abbildung 6.9). In der Standardeinstellung ist
für Domänenbenutzerkonten die Einstellung Zugriff über NPS-Netzwerkrichtlinien steuern
konfiguriert.
Zertifikatserver
Viele VPNs setzen eine Form der Verschlüsselung ein, die mit öffentlichen Schlüsseln und
einer Public Key-Infrastruktur (PKI) arbeitet. In einer PKI werden Zertifikate einerseits ver-
wendet, um die Identität des Zertifikatbesitzers zu überprüfen, und andererseits, um Daten zu
verschlüsseln oder entschlüsseln. Jedes Zertifikat ist mit einem Schlüsselpaar verknüpft, das
aus einem öffentlichen Schlüssel (der in das öffentliche Zertifikat eingebettet ist und an alle
verteilt wird) und einem privaten Schlüssel (er wird lokal generiert und niemals über das
Netzwerk gesendet) besteht. Werden Daten mit dem privaten Schlüssel verschlüsselt, kön-
nen sie mit dem zugehörigen öffentlichen Schlüssel wieder entschlüsselt werden. Und wird
umgekehrt der öffentliche Schlüssel benutzt, um die Daten zu verschlüsseln, lassen sie sich
mit dem privaten Schlüssel wieder entschlüsseln. In einem typischen Fall benutzt ein Ab-
sender den öffentlichen Schlüssel des Empfängers, um eine Nachricht zu verschlüsseln,
bevor er sie absendet. Nur der Empfänger hat Zugriff auf den privaten Schlüssel, der
gebraucht wird, um die Nachricht zu entschlüsseln.
In einer PKI werden Zertifikate von einer Zertifizierungsstelle generiert und ausgegeben.
Das kann ein Computer sein, der unter Windows Server 2008 läuft und die Serverrolle
Active Directory-Zertifikatdienste ausführt.
DHCP-Server
Normalerweise wird ein interner DHCP-Server verwendet, um VPN-Clients eine IP-Adresse
zuzuweisen. Erfüllt ein DHCP-Server diese Aufgabe, muss der externe Netzwerkadapter des
VPN-Servers mit einem DHCP-Relay-Agent konfiguriert sein, damit er die DHCP-Anfor-
derungen von externen VPN-Clients bedient. Stattdessen kann auch der VPN-Server selbst
so konfiguriert werden, dass er den VPN-Clients Adressen zuweist; dazu wird nicht die
Unterstützung des DHCP-Servers im Unternehmensnetzwerk gebraucht.
Netzwerkrichtlinienserver
NPS (Network Policy Server, Netzwerkrichtlinienserver) ist die Microsoft-Implementierung
eines RADIUS-Servers und -Proxys. Sie können NPS einsetzen, um Authentifizierung,
Autorisierung und Integritätsrichtlinien für VPN-Verbindungen, Wählverbindungen, 802.11-
Drahtlosverbindungen und 802.1x-Verbindungen zentral zu verwalten. NPS kann außerdem
als Integritätsprüfungsserver für Netzwerkzugriffsschutz (Network Access Protection, NAP)
agieren. Wie RRAS ist auch NPS in Windows Server 2008 ein Rollendienst der Serverrolle
Netzwerkrichtlinien- und Zugriffsdienste.
Abbildung 6.10 zeigt, wie NPS als zentraler Authentifizierungs- und Autorisierungspunkt
für den Netzwerkzugriff agiert. In dieser Abbildung arbeitet NPS als RADIUS-Server für
234 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

zahlreiche Zugriffsclients. Für die Authentifizierung der Benutzeranmeldeinformationen


greift NPS auf einen Domänencontroller zurück.

Abbildung 6.10 Ein NPS-Server kann die Authentifizierung und Autorisierung zentral verwalten

Hinweis NPS und IAS


NPS ist der Nachfolger des Internetauthentifizierungsdienstes (Internet Authentication
Service, IAS) aus Windows Server 2003.

Grundlagen der VPN-Tunnelprotokolle in Windows 7


Windows 7 unterstützt vier Tunnelprotokolle für VPN-Remotezugriffsverbindungen zu
Unternehmensnetzwerken. Jedes davon wird in einem anderen Remotezugriffsszenario
eingesetzt, und jedes stellt andere Anforderungen an Betriebssystem, Konfiguration und
Infrastruktur. Der folgende Abschnitt stellt diese vier VPN-Protokolle genauer vor.

Grundlagen von IKEv2


Internet Key Exchange Version 2 (IKEv2) ist neu in Windows 7 und Windows Server 2008
R2. Es ist ein Tunnelprotokoll, das IPSec (Internet Protocol Security) für die Verschlüsse-
lung einsetzt. Ein wichtiger Leistungsgewinn eines IKEv2-basierten VPNs ergibt sich aus
der Unterstützung von VPN-Reconnect (auch unter dem Namen Mobility bekannt). VPN-
Reconnect ermöglicht es, Verbindungen aufrechtzuerhalten, während ein VPN-Client von
einem WLAN-Hotspot oder Switch einer Drahtlos- oder Kabelverbindung zu einem anderen
wechselt. Ein anderer wichtiger Vorteil von IKEv2 ist, dass Clientcomputer sich nicht mit-
hilfe eines Computerzertifikats oder eines vorinstallierten Schlüssels authentifizieren müssen.
Diesen Vorteil bieten auch SSTP- (Secure Socket Tunneling Protocol) und PPTP-VPNs
(Point-to-Point Tunneling Protocol), aber nicht die VPNs, die auf L2TP (Layer 2 Tunneling
Protocol) aufbauen. Und schließlich bietet IKEv2 im Vergleich zu anderen VPN-Typen, die
Lektion 1: Grundlagen von VPN-Clientverbindungen 235

auf IPSec-Verschlüsselung aufbauen (L2TP), höhere Leistung, weil die Verbindung schnel-
ler aufgebaut wird.

Prüfungstipp
Für die Prüfung 70-685 müssen Sie wissen, was VPN-Reconnect ist und dass nur IKEv2-
VPNs dieses Feature unterstützen.

IKEv2-VPNs setzen eine PKI voraus. In einem IKEv2-VPN muss der Server dem Client ein
Serverauthentifizierungszertifikat vorweisen, und der Client muss in der Lage sein, dieses
Zertifikat zu überprüfen. Damit diese Überprüfung vorgenommen werden kann, muss das
Stammzertifikat der Zertifizierungsstelle, die das Serverauthentifizierungszertifikat ausge-
stellt hat, im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des Client-
computers installiert sein.
Was Leistung und Sicherheit betrifft, ist IKEv2 der bevorzugte VPN-Typ. Sie sollten ihn
bereitstellen, sofern die Betriebssystemvoraussetzungen für ein solches VPN erfüllt sind.
Diese Anforderungen sind Windows 7 für den VPN-Client und Windows Server 2008 R2
auf dem VPN-Server.

Grundlagen von SSTP


SSTP-VPNs wurden in Windows Server 2008 eingeführt. Sie können von Clients benutzt
werden, die unter Windows Vista SP1 oder neuer laufen. Dieser VPN-Typ basiert auf dem-
selben HTTP-über-SSL-Protokoll, das für sichere Websites verwendet wird. Das wichtigste
Feature eines SSTP-VPNs ist, dass es die gesamte Kommunikation über TCP-Port 443 ab-
wickelt. Dieser Port wird auf den meisten Firewalls für sicheren Webverkehr offen gehalten.
Weil die meisten Firewalls nicht umkonfiguriert werden müssen, um SSTP-Kommunikation
abzuwickeln, können SSTP-VPN-Clients durch die meisten NAT-Geräte (Network Address
Translation), Firewalls und Webproxys hindurch Verbindungen aufbauen. Andere VPN-
Typen können solche Netzwerkgeräte oft nicht durchlaufen. Ein SSTP-VPN ist daher ein
außergewöhnlich flexibles Remotezugriff-VPN, das in mehr Netzwerkkonstellationen
implementiert werden kann als andere VPNs.
Wie IKEv2- und PPTP-VPNs, aber anders als L2TP-basierte VPNs erfordern SSTP-VPNs
in der Standardeinstellung keine Clientcomputerauthentifizierung (dies kann aber durch eine
Konfigurationsänderung erzwungen werden). Wie bei einem sicheren Webserver muss der
SSTP-VPN-Server dem anfordernden Client aber am Anfang der Kommunikationssitzung
ein Computerzertifikat vorweisen. Der VPN-Client muss dann in der Lage sein, das Com-
puterzertifikat des Servers zu überprüfen. Damit diese Überprüfung vorgenommen werden
kann, muss das Stammzertifikat der Zertifizierungsstelle, die das Serverauthentifizierungs-
zertifikat ausgestellt hat, im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstel-
len des VPN-Clientcomputers installiert sein.

Hinweis Zertifikatprüfung in SSTP-VPNs


In einer PKI kann ein Administrator ein Zertifikat sperren, das einem Benutzer, Computer
oder Dienst ausgestellt wurde. Eine Zertifizierungsstelle veröffentlicht die Listen der ge-
sperrten Zertifikate in einer offiziellen Zertifikatsperrliste (Certificate Revocation List,
CRL). Bei SSTP-VPN-Verbindungen muss der Client standardmäßig überprüfen, dass das
236 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

Computerzertifikat des VPN-Servers nicht gesperrt wurde. Dazu kommuniziert er mit dem
Zertifikatserver, der im Zertifikat als Host der Zertifikatsperrliste angegeben ist. Ist der
Server, der die Zertifikatsperrliste hostet, nicht erreichbar, schlägt die Überprüfung fehl. Die
VPN-Verbindung wird daraufhin abgebrochen. Um das zu verhindern, müssen Sie die Zer-
tifikatsperrliste entweder auf einem Server veröffentlichen, der im Internet erreichbar ist,
oder den Client so konfigurieren, dass er keine Prüfung der Zertifikatsperrliste erzwingt. Sie
deaktivieren die Prüfung der Zertifikatsperrliste, indem Sie einen Registrierungseintrag im
folgenden Pfad anlegen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters
Dieser Eintrag muss ein DWORD-Wert namens NoCertRevocationCheck sein. Setzen Sie
diesen Eintrag auf den Wert 1.

Grundlagen von L2TP


L2TP ist der Industriestandard für ein Tunnelprotokoll, das mit dem Ziel entwickelt wurde,
nativ über IP-Netzwerke zu laufen. Die Sicherheit für L2TP-VPN-Verbindungen wird mit
IPSec gewährleistet, das Datenauthentifizierung und Verschlüsselung durchführt. Auf diese
Weise ist sichergestellt, dass L2TP-Tunnel geschützt sind. Die Kombination aus L2TP und
IPSec zum Aufbau eines Tunnels wird üblicherweise als L2TP über IPSec oder L2TP/IPSec
bezeichnet.
L2TP/IPSec-VPNs haben gegenüber IKEv2- und SSTP-VPNs einige Nachteile. Erstens
benötigt L2TP/IPSec neben der Benutzerauthentifizierung, die in allen VPN-Protokollen
erforderlich ist, zusätzlich eine Clientcomputerauthentifizierung. Aufgrund dieser Anforde-
rung müssen alle VPN-Clientcomputer, auf denen der Benutzer eine Verbindung aufbauen
will, entweder mit einem Computerzertifikat oder einem vorinstallierten Schlüssel konfigu-
riert sein, den der VPN-Server kennt. Daher ist es bei L2TP/IPSec nicht möglich, dass ein
Benutzer eine VPN-Verbindung von öffentlichen Terminals aus oder von irgendeinem Com-
puter aus eine Verbindung herstellt, die nicht explizit für das VPN konfiguriert wurde.
Wollen Sie eine VPN-Clientverbindung in Windows 7 so konfigurieren, dass sie entweder
ein Computerzertifikat oder einen vorinstallierten Schlüssel für die L2TP/IPSec-Authentifi-
zierung verwendet, müssen Sie das Eigenschaftendialogfeld der VPN-Verbindung öffnen,
auf die Registerkarte Sicherheit und dort auf die Schaltfläche Erweiterte Einstellungen kli-
cken. Daraufhin öffnet sich das Dialogfeld Erweiterte Eigenschaften (Abbildung 6.11). In
der Standardeinstellung ist die Zertifikatsauthentifizierung eingestellt. Um ein Clientauthen-
tifizierungszertifikat zu bekommen, das Sie für diese Einstellung brauchen, müssen Sie üb-
licherweise eine Anforderung an die Zertifizierungsstelle im Unternehmensnetzwerk senden
und dann das Zertifikat installieren, sobald die Anforderung genehmigt wurde. Wenn Sie die
Einstellung auf Vorinstallierten Schlüssel für Authentifizierung verwenden ändern, müssen
Sie den Schlüssel im zugehörigen Textfeld eingeben.
Neben der Anforderung, dass der Clientcomputer authentifiziert werden muss, liegt eine
weitere Einschränkung von L2TP/IPSec-VPNs darin, dass sie keine native Unterstützung für
die Kommunikation über NAT-Geräte bieten. Sie können es L2TP/IPSec allerdings ermög-
lichen, ein NAT-Gerät zu durchlaufen, wenn Sie sowohl auf dem VPN-Clientcomputer als
auch dem VPN-Server einen bestimmten Registrierungswert ändern.
Lektion 1: Grundlagen von VPN-Clientverbindungen 237

Abbildung 6.11 Konfigurieren der VPN-Clientauthentifizierung


für L2TP/IPSec

Weitere Informationen Konfigurieren von L2TP/IPSec für NAT-Traversal


Eine Anleitung, wie Sie die Registrierung so ändern, dass NAT-Traversal in L2TP/IPSec
möglich ist, finden Sie unter http://support.microsoft.com/kb/926179.

Grundlagen von PPTP


PPTP ist unter allen VPN-Protokollen am einfachsten in Windows-Netzwerken zu imple-
mentieren. Im Unterschied zu anderen Tunnelprotokollen benötigt PPTP keinerlei Zertifikate
oder vorinstallierte Schlüssel, weder auf dem VPN-Client noch dem Server. Ein anderes wich-
tiges Feature von PPTP ist, dass es auch für ältere Windows-Betriebssysteme benutzt werden
kann: Es ist das einzige native Windows-VPN-Protokoll, das auf Microsoft Windows NT 4.0
läuft, und es ist zu allen Windows-Versionen seit Microsoft Windows 2000 kompatibel.
PPTP hat aber auch erhebliche Nachteile. Der größte ist, dass es nicht so sicher ist wie andere
VPN-Protokolle. PPTP verschlüsselt die Daten zwar, stellt aber nicht die Datenintegrität
sicher und führt keine Authentifizierung der Datenherkunft durch. Eine weitere Einschrän-
kung von PPTP ist, dass es NAT-Geräte nur durchlaufen kann, wenn es sich um PPTP-fähige
NAT-Router handelt.
Tabelle 6.1 vergleicht die wichtigsten Features der vier VPN-Protokolle, die in Windows-
Netzwerken zur Verfügung stehen.
238 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

Tabelle 6.1 VPN-Protokolle in Windows-Netzwerken


VPN- Unterstützte Be- Szenario Traversal VPN-Recon- Authentifizierung
Proto- triebssysteme nect/Mobility
koll
IKEv2 Windows 7, Remote- NAT Ja Computer- oder Benut-
Windows Server zugriff zerauthentifizierung mit
2008 R2 IKEv2; VPN-Server
braucht ein Serverzerti-
fikat
SSTP Windows Vista Remote- NAT, Nein Benutzerauthentifizie-
SP1, Windows zugriff Firewalls, rung mit PPP (Point-to-
Server 2008, Webproxy Point Protocol); VPN-
Windows 7, Server braucht ein
Windows Server Serverzertifikat
2008 R2
L2TP/ Windows 2000 Remote- NAT, nur mit Nein Computerauthentifizie-
IPSec oder neuer zugriff, spezieller rung mit IPSec, gefolgt
Standort- Änderung in von Benutzerauthenti-
verbindung der Registrie- fizierung mit PPP; VPN-
rung Client braucht ein
Computerzertifikat oder
einen vorinstallierten
Schlüssel
PPTP Windows NT 4.0, Remote- NAT, nur Nein Benutzerauthentifizie-
Windows 2000 zugriff, durch PPTP- rung mit PPP
oder neuer Standort- fähige NAT-
verbindung Router

Ablauf des Verbindungsaufbaus bei Remotezugriff-VPNs


Wenn ein VPN-Client Zugriff auf ein Windows-Unternehmensnetzwerk anfordert, müssen
mehrere Schritte ablaufen, bis der Client tatsächlich den gewünschten Zugriff erhält. Tritt an
irgendeiner Stelle in diesem Ablauf ein Fehler auf, misslingt der Verbindungsversuch. Sie
müssen die Schritte beim VPN-Verbindungsaufbau genau kennen, wenn Sie eine effektive
Problembehandlung durchführen wollen. Nur so können Sie wissen, durch welche Fehler in
Ihrer VPN-Konfiguration bestimmte Verbindungsfehler verursacht werden.
Der Verbindungsaufbau bei einem Remotezugriff-VPN läuft in folgenden Schritten ab:
1. Der VPN-Client nimmt Kontakt zum VPN-Server auf.
In der ersten Phase eines VPN-Verbindungsversuchs kontaktiert der VPN-Client den
VPN-Server. Diese Phase verläuft nur erfolgreich, wenn der Client mit der richtigen IP-
Adresse des VPN-Servers konfiguriert ist. Außerdem muss der VPN-Server öffentlich
erreichbar sein. Liegt der VPN-Server hinter einer Firewall, muss sie so konfiguriert
sein, dass sie den VPN-Clientzugriff erlaubt.
2. Der VPN-Tunnel wird ausgehandelt.
Sobald der VPN-Client den Kontakt zum VPN-Server hergestellt hat, schickt er eine
Anforderung nach einem bestimmten Tunneltyp. Eine VPN-Netzwerkverbindung kann
Lektion 1: Grundlagen von VPN-Clientverbindungen 239

eine von fünf Einstellungen verwenden: Automatisch, PPTP, L2TP/IPSec, SSTP und
IKEv2 (Abbildung 6.12).

Abbildung 6.12 Konfigurieren des VPN-Typs

Die Standardeinstellung ist Automatisch. Bei dieser Einstellung fordert die VPN-Verbin-
dung Protokolle in der folgenden Reihenfolge an: IKEv2, SSTP, L2TP/IPSec und PPTP.
Es wird schließlich der VPN-Typ verwendet, für den der VPN-Server die Anforderung
bestätigt.
Während dieser Phase wird auch das Authentifizierungsprotokoll ausgehandelt. Bei
IKEv2-VPNs wird das Authentifizierungsprotokoll EAP-MSCHAPv2 benutzt. Bei an-
deren VPN-Typen wird MS-CHAPv2 bevorzugt, sofern es auf dem VPN-Server verfüg-
bar ist. Andernfalls wird CHAP angefordert.
Zuletzt wird in dieser Phase die Verschlüsselung ausgehandelt. Wie die Authentifizie-
rungseinstellungen werden in Windows 7 auch die Verschlüsselungseinstellungen auf der
Registerkarte Sicherheit im Eigenschaftendialogfeld einer VPN-Verbindung konfiguriert
(Abbildung 6.13). Damit die Verschlüsselung erfolgreich ausgehandelt werden kann,
müssen die hier definierten Clienteinstellungen zu denen kompatibel sein, die auf dem
VPN-Server konfiguriert sind. Ist auf dem Client also die Option Maximale eingestellt,
muss der Server in der Lage sein, höchste Verschlüsselungsstärke zur Verfügung zu
stellen, andernfalls schlägt der VPN-Verbindungsversuch fehl.
3. Der VPN-Tunnel wird erstellt.
Wurde über VPN-Tunneltyp, Authentifizierungsprotokoll und Verschlüsselungsstärke
Einigung erzielt, wird der VPN-Tunnel zwischen VPN-Client und VPN-Server erstellt.
Ab diesem Punkt läuft die gesamte Kommunikation verschlüsselt.
Bei IKEv2- und SSTP-VPNs wird der Tunnel mithilfe des Computerzertifikats des VPN-
Servers aufgebaut. Der VPN-Client muss daher in der Lage sein, dieses Zertifikat zu
überprüfen. Das setzt voraus, dass auf dem VPN-Clientcomputers das Stammzertifikat
der Zertifizierungsstelle, die das Serverauthentifizierungszertifikat ausgestellt hat, im
Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert ist.
240 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

Abbildung 6.13 Konfigurieren der


Datenverschlüsselung in der VPN-Verbindung

Bei L2TP/IPSec-VPNs werden vorinstallierte Schlüssel oder Computerzertifikate ver-


wendet, um die Verschlüsselungsbedingungen für den Tunnel festzulegen. Daher gelingt
die Aushandlung nur, wenn diese Elemente richtig konfiguriert sind. (PPTP-VPNs ver-
wenden Microsoft Point-to-Point Encryption, um einen sicheren Tunnel zu erzeugen, sie
erfordern keine PKI.)
Eine letzte Voraussetzung für die erfolgreiche Aushandlung eines VPN-Tunnels ist, dass
die Kommunikation zwischen VPN-Client und VPN-Server alle zwischengeschaltete
Netzwerkgeräte durchläuft. Liegt zum Beispiel eine Firewall zwischen VPN-Client und
VPN-Server, müssen darin die Ports geöffnet sein, die vom VPN-Protokoll benutzt
werden. Liegt ein NAT-Gerät zwischen VPN-Client und VPN-Server, muss das VPN-
Protokoll in der Lage sein, dieses NAT-Gerät zu durchlaufen.
4. Die Remotezugriffsauthentifizierung wird durchgeführt.
In dieser Phase werden die Benutzeranmeldeinformationen, die im Rahmen der VPN-
Verbindungsanforderung übermittelt wurden, über das vorher ausgehandelte Authenti-
fizierungsprotokoll an den VPN-Server gesendet. Der VPN-Server führt die Authentifi-
zierung entweder lokal durch oder leitet die Authentifizierungsanforderung an einen
verfügbaren Domänencontroller oder einen RADIUS-Server weiter. Dies gelingt nur,
wenn der VPN-Benutzer korrekte Anmeldeinformationen eingegeben hat und der VPN-
Server so konfiguriert ist, dass er die Authentifizierung an die richtige Stelle weiterleitet.
5. Die Remotezugriffsautorisierung wird durchgeführt.
In dieser Phase werden die Eigenschaften des Benutzerkontos überprüft, um festzustellen,
dass der Benutzer für den Remotezugriff autorisiert ist. Dann wird die Liste der Netz-
werkrichtlinien ausgewertet, die auf dem VPN-Server oder Netzwerkrichtlinienserver
konfiguriert ist. Die erste Richtlinie, deren Bedingungen mit der Verbindungsanforde-
rung übereinstimmen, wird auf die Anforderung angewendet. Sie legt nun fest, ob die
Anforderung erlaubt oder zurückgewiesen wird. Beachten Sie, dass in der Richtlinie
Lektion 1: Grundlagen von VPN-Clientverbindungen 241

auch Einschränkungen (etwa Anmeldezeiten) definiert sein können, die Auswirkungen


auf die Autorisierung der Verbindungsanforderung haben.
6. Die VPN-Verbindung wird aufgebaut.
Wurde die Anforderung nach der Remotezugriffsverbindung autorisiert, erlaubt der VPN-
Server dem VPN-Benutzer, sich an der Domäne anzumelden. Nach der Domänenanmel-
dung hat der VPN-Benutzer Zugriff auf das Unternehmensnetzwerk.

Problembehandlung für VPN-Clientverbindungen


Gehen Sie anhand der folgenden Liste vor, um Probleme bei einer VPN-Clientverbindung zu
untersuchen:
„ Überprüfen Sie, ob die VPN-Clientverbindung richtig mit dem Namen oder der IP-
Adresse des VPN-Servers konfiguriert ist.
„ Überprüfen Sie, ob der VPN-Clientcomputer eine aktive Internetverbindung hat. Die
VPN-Verbindung kann nur aufgebaut werden, während der Client mit dem Internet
verbunden ist.
„ Überprüfen Sie, ob die Benutzeranmeldeinformationen in der VPN-Verbindung richtig
eingetragen sind.
„ Überprüfen Sie, ob der Benutzer für den Remotezugriff autorisiert ist.
„ Überprüfen Sie, ob die Zertifikate für die VPN-Verbindung richtig konfiguriert sind.
Beispielsweise muss das Zertifikat der Stammzertifizierungsstelle, die das Computer-
zertifikat des VPN-Servers ausgestellt hat, im Speicher Vertrauenswürdige Stammzerti-
fizierungsstellen des VPN-Clientcomputers installiert sein. Bei einem L2TP/IPSec-VPN
müssen Sie sicherstellen, dass auf dem VPN-Clientcomputer ein Computerzertifikat
installiert ist, das der VPN-Server überprüfen kann.
„ Falls eine Fehlermeldung mit dem Code 741 erscheint und Sie informiert werden, dass
der lokale Computer keine Verschlüsselung unterstützt, sollten Sie prüfen, ob die Ver-
schlüsselungseinstellungen, die für die VPN-Verbindung konfiguriert sind, zu denen des
Servers kompatibel sind.

Übung Erstellen einer IKEv2-VPN-Verbindung


In dieser Übung erstellen Sie eine simulierte IKEv2-VPN-Verbindung zwischen einem
Windows 7-Client und einem Server, der unter Windows Server 2008 R2 läuft.
Das aus zwei Computern bestehende Netzwerk, das Sie in dieser Übung verwenden, ist
natürlich viel simpler als eine echte Umgebung, in der eine solche Verbindung normaler-
weise eingesetzt wird. In der Praxis verbindet eine VPN-Verbindung einen Client im Internet
durch eine Firewall hindurch mit einem VPN-Server, der Mitgliedserver der lokalen AD DS-
Domäne (Active Directory Domain Services) ist. Ein separater Server, der als Domänencon-
troller agiert, übernimmt dabei die Authentifizierung des Benutzers. Und ein weiterer Server
ist der Zertifikatserver, der die Zertifikate für die Verbindung generiert. In der Testumgebung
für diese Übung dient dagegen ein einziger Windows Server 2008 R2-Computer als VPN-
Server, Domänencontroller und Zertifikatserver.
242 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen

In dieser Übung führen Sie folgende Aufgaben aus:


1. Sie legen auf dem Domänencontroller ein Domänenbenutzerkonto an und weisen ihm
die Einwählberechtigung Zugriff gestatten zu. (Übung 1)
2. Sie installieren die Active Directory-Zertifikatdienste auf dem Server. Mit den Zertifikat-
diensten generieren Sie sowohl ein Serverauthentifizierungszertifikat, das auf dem Server
installiert wird, als auch ein Stammzertifizierungsstellenzertifikat, das auf dem Client
installiert wird. (Übungen 2 bis 8)
3. Sie installieren und konfigurieren die Serverrolle Netzwerkrichtlinien- und Zugriffs-
dienste auf dem Server. Mit diesem Schritt versetzen Sie den Server in die Lage, VPN-
Verbindungen entgegenzunehmen und weiterzuleiten. (Übungen 9 bis 11)
4. Sie erstellen und testen die VPN-Verbindung auf dem Client. (Übungen 12 bis 13)
Für die Übung sollte der Server den Namen DC1.nwtraders.msft haben und der Client den
Namen CLIENT1.nwtraders.msft. Konfigurieren Sie beide Computer mit je einer Netzwerk-
karte und schließen Sie beide an dasselbe Netzwerk an. DC1 muss ein Domänencontroller in
der Domäne Nwtraders.msft sein, CLIENT1 muss Mitglied in dieser Domäne sein.
DC1 sollte nur mit folgenden Rollen konfiguriert sein:
„ AD DS
„ DHCP-Server
„ DNS-Server

Hinweis Entfernen Sie alle anderen Rollen


Entfernen Sie alle anderen Rollen, die auf DC1 installiert sind, bevor Sie diese Übung in
Angriff nehmen. (Einzige Ausnahme ist die Serverrolle Active Directory-Zertifikatdienste.
Falls Sie diese Rolle installiert haben, als der Server den Namen DC1.nwtraders.msft hatte,
können Sie die Rolle installiert lassen.) Wenn Sie den Rollendienst Routing- und RAS-Dienste
der Serverrolle Netzwerkrichtlinien- und Zugriffsdienste installiert haben, sollten Sie erst den
Routing- und RAS-Dienst deaktivieren, bevor Sie diese Serverrolle deinstallieren.
Schließlich ist noch wichtig, dass Sie zum Deinstallieren der Serverrollen dasselbe Domä-
nenadministratorkonto verwenden wie in den folgenden Übungen.

Übung 1 Anlegen eines Domänenbenutzers mit Netzwerkzugriffsberechtigungen


In dieser Übung legen Sie in der Konsole Active Directory-Benutzer und -Computer ein
Domänenbenutzerkonto an und gewähren ihm die Netzwerkzugriffsberechtigung Zugriff
gestatten.
1. Melden Sie sich auf DC1 als Domänenadministrator an nwtraders.msft an.
2. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer, indem Sie im Start-
menü auf Verwaltung und dann auf Active Directory-Benutzer und -Computer klicken.
3. Erweitern Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer
den Knoten nwtraders.msft, klicken Sie mit der rechten Maustaste auf Users und wählen
Sie Neu/Benutzer.
Lektion 1: Grundlagen von VPN-Clientverbindungen 243

4. Geben Sie auf der ersten Seite des Assistenten Neues Objekt – Benutzer Vornamen,
Nachnamen und Benutzeranmeldenamen für den VPN-Benutzer in die entsprechenden
Felder ein und klicken Sie auf Weiter.
5. Geben Sie auf der zweiten Seite des Assistenten Neues Objekt – Benutzer ein Kennwort
in die Textfelder Kennwort und Kennwort bestätigen ein.
6. Deaktivieren Sie das