Windows 2000 (Server/Workstation)
Minimum Patch List
Seit 2003 steht das Servicepack 4 für Windows 2000 (nachfolgend SP4) zur Verfügung. Es enthält kumulativ alle vorherigen Servicepacks
und eine Vielzahl weiterer Sicherheitsupdates. Das SP4 stellt nicht eine Verschönerung oder geringfügige Verbesserung des Betriebssystems dar,
sondern ist zumindest die Grundlage für eine zumindest ansatzweise sichere Basis. SP4 ist daher nicht optional, sondern Pflicht für jeden, der die Windows 2000-Plattform nutzt.
Bei der Neuinstallation von Windows 2000 sollte, wenn nicht eine funktionsfähige, gut konfigurierte Firewall das System schützt oder ein Proxyserver in einer sicheren Umgebung verwendet wird
von einem Online-Update oder dem Herunterladen des Servicepack Abstand genommen werden, da das ungepatchte System nur wenige Sekunden nach der Verbindung mit dem Internet mit Sicherheit ein Opfer der verschiedener Angriffe
wird.
Um das System überhaupt auf einen angemessenen Sicherheitsstand zu bringen, sein hier der Verweis auf den freundlichen Fachhändler gegeben, der kostenlos oder für Kleingeld eine CD mit (zumindest halbwegs aktuellen)
Servicepacks und Sicherheitupdates bereithält.
Installation der Sicherheitsupdates
Die Windows 2000 MultiLanguage Version (MUI) benötigt unabhängig von der verwendeten Oberflächensprache das englische Service
Pack und die englischen Security Fixes.
Jeweils nach der Installation eines Sicherheitsupdates ist das Computersystem zwingend neu zu starten. Wenn Sie eine
Vielzahl von Sicherheitsupdates innerhalb eines knapp bemessenen Wartungsfensters installieren wollen, kann
dieses Tool (Q296861) für Sie durchaus interessant sein (Verwendung von QChain.exe zur Installation mehrerer Hotfixes mit nur einem Neustart). Die
Hotfixes müssen dazu mittels qxxx.exe -m -z aufgerufen werden (durch -m erfolgt die Installation im Quiet-mode und durch -z ohne Neustart).
Prüfung des Hotfix-Status
Ab Windows 2000 ist eine Systemprüfung mit dem Microsoft Personal Security Advisor möglich. Rufen Sie hierzu
diese Seite auf.
Weiterhin ist eine Prüfung durch das von Microsoft für die Systemprüfung zur Verfügung gestellte Produkt "Security Hotfix Checker" (hfnetchk.exe)
möglich. Damit können Systeme lokal oder über das Netzwerk auf die jeweils installierten bzw. fehlenden Sicherheitsupdates überprüft werden. Um tatsächlich aktuelle
Informationen zu verarbeiten, sollte eine Internetanbindung auf dem System, von dem die Tests durchgeführt werden, zur Verfügung stehen. In der
Vorbereitungsphase des Tests wird eine CAB-Datei (mssecure.cab) mit den aktuellsten Hotfix-Informationen (mssecure.xml) auf das lokale System
übertragen.
Probleme kann es hinter einem Proxyserver / einer Firewall geben, dazu kann die benötigte mssecure.cab auch von
hier geladen werden. Gleiches gilt, wenn eine direkte
Internetanbindung nicht möglich oder nicht erwünscht ist. Dabei ist jedoch unbedingt auf die Aktualität der Datei zu achten.
Die wichtigsten Parameter der hfnetchk.exe hier im Überblick:
| -i ipaddress | IP-Adresse des zu prüfenden Systems |
| -h hostname | NetBIOS-Name des zu prüfenden Systems, Standard ist die lokale Maschine |
| -fh filename | Datei mit NetBIOS-Namen der zu prüfenden System im Format ein NetBIOS-Name je Zeile, maximal 256 Zeilen in der Datei |
| -fip filename | Datei mit den zu prüfenden IP-Adressen im Format eine IP-Adresse je Zeile, maximal 256 IP-Adressen in der Datei |
| -r | Prüfung eines Bereiches von IP-Adressen, beginnend mit der ersten IP-Adresse und Endend mit der letzten IP-Adresse. Beispiel für die Parameterübergabe:
hfnetchk.exe -r 192.168.0.1-192.168.0.10 |
| -d | Angabe des Domainname, alle Systeme in dieser Domain werden überprüft |
| -n | Prüft alle Systeme im lokalen Netzwerk |
| -u | Benutzername zur Anmeldung an entfernten Systemen |
| -p | Passwort zur Anmeldung an entfernten Systemen |
| -? oder /? | Ausgabe der Hilfe |
|
