Cerberus 
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
 |
|
 Das Registry-Kompendium Teil 2 |
     |
Im zweiten Teil unseres Kompendiums wollen wir etwas ausführlicher über die Sicherung der Registry,das Schützen von Registry-Schlüsseln und über Tuningmöglichkeiten berichten.
1. Systemstatus sichern:
Läuft unser System sicher und rund, sollten wir den augenblicklichen Systemstatus sichern. Der Systemstatus enthält die Registry, die für den Start notwendigen Dateien sowie alle Systemdateien, die für z.B. für Windows XP/2000 lebenswichtig sind.
Mit dem Systemstatus können wir Windows XP/2000 später wieder genau auf den Stand zurückversetzen, der galt, als wir den Systemstatus gesichert hatten.
A. Wählt erst im Startmenü Programme/Zubehör/Systemprogramme/Sicherung.
B. Klickt auf das Register Sichern. In der linken Spalte sehen wir alle Laufwerke, die wir sichern können. Zusätzlich wird der Eintrag Systemstatus angezeigt. Klickt ins Kästchen vor diesem Eintrag.
C. Gebt als Ziel im Feld Sicherungsmedium oder Dateiname einen Dateinamen auf einem Laufwerk an, zum Beispiel Sicherung.bkf. Der Systemstatus umfasst rund 100 Mbyte, so dass ihr hier eine Festplatte oder ein ZIP-Laufwerk auswählen sollten.Natürlich könnt ihr auch einfach eine Datei anlegen und diese später auf eine CDRW brennen.
D. Startet die Sicherung per Klick auf Sicherung starten. Wählt die Optionen Daten auf dem Medium durch diese Sicherung ersetzen sowie Zugriff auf Sicherungsdaten nur für Besitzer oder Administrator zulassen. Dann klickt auf Starten.
E. Die Sicherung beginnt und kann einige Minuten dauern.
Um den Systemstatus später im Notfall wieder zu reaktivieren, geht ihr folgendermaßen vor:
A. Wählt im Startmenü Programme/Zubehör/Systemprogramme/Sicherung.
B. Klickt auf das Register Wiederherstellen. In der linken spalte sehen wir unsere Sicherungen. Öffnet die passende Sicherungsdatei und klickt euch durch, bis ihr den gesicherten Systemstatus seht. Klickt ins Kästchen vor diesem Eintrag.
C. Klickt auf Wiederherstellung starten. Die Daten werden reaktiviert.
Einige Details sind wichtig:
Sollte unsere Sicherungsdatei nicht in der linken Spalte angezeigt werden, wählt Extras/Sicherungsdatei katalogisieren. Gebt dann den Pfadnamen unserer Sicherungsdatei an.
Unser System wird auf den Stand zurückversetzt, der galt, als der Systemstatus gesichert wurde. Alle Änderungen am System, die wir seither vorgenommen haben, werden rückgängig gemacht. Zwar werden dabei keine Dateien gelöscht,Wenn wir aber zwischenzeitlich ein neues Programm installiert haben, verschwinden alle Referenzen auf das Programm in der Registry, und wir können das Programm nicht mehr benutzen. Umgekehrt gilt es auch: Haben wir zwischenzeitlich ein Programm deinstalliert, würde der veraltete Systemstatus die Programminformationen wieder in die Registry eintragen. Da die Programmdateien inzwischen aber deinstalliert wurden, funktioniert das Programm nicht mehr.
Die goldene Regel lautet also:
Legt stets einen neuen Systemstatus an, wenn ihr Änderungen am System vorgenommen habt, und „Spult“ Windows nur zu einem Systemstatus zurück, der halbwegs aktuell ist.
Gesichert wird nur der allgemeine Teil der Registry.Unsere benutzerspezifischen Änderungen werden nicht gesichert. Das ist ein schweres Manko, das ihr kennen solltet. Alle Einstellungen, die intern im Registry-Zweig HKEY_CURRENT_ USER aufbewahrt werden, sind nicht Teil des Systemstatus.
Das Sicherungsprogramm ersetzt als Vorgabe keine schon vorhandenen Dateien. Zurückgesichert werden also nur Dateien, die seit der Sicherung gelöscht worden sind. Wollen wir den Systemstatus reaktivieren, müssen wir dafür sorgen, dass vorhandene Dateien (zum Beispiel die Registry) ersetzt werden. Dazu wählen Sie vor der Wiederherstellung Extras/Optionen.
Prinzipiell auf gleiche Weise lassen sich auch alle übrigen Dateien sichern, zum Beispiel unsere persönlichen Briefe und Arbeitsergebnisse. Markiert dazu einfach die Ordner, in denen die zu sichernden Daten liegen, bevor ihr die Sicherung startet.
2. Registry-Schlüssel schützen:
Sogar einzelne Registry-Bereiche lassen sich schützen. Windows 2000/XP macht davon bereits Gebrauch und schottet auf diese Weise die Policies-Schlüssel mit den Windows-Feineinstellungen ab. Die können nur von Administratoren verändert werden.
Und wie werden Registry-Schlüssel geschützt? Zum Beispiel so:
A. Wählt im Startmenüs Ausführen, gebt ein: REGEDT32 und drückt Enter. Eine besondere Fassung des Registrierungseditors öffnet sich.
B. Klickt einen beliebigen Schlüssel an und wählt Sicherheit/Berechtigungen.
C. Wir können nun diesem Schlüssel genau wie oben bei Dateien, Ordnern und Ressourcen Zugriffsrechte geben, indem wir die betreffenden Benutzerkonten und Gruppen auswählen und ihnen dann die Rechte Lesen und Vollzugriffen gewähren.
Natürlich hat niemand Lust, Zigtausenden von Dateien einzeln und von Hand die richtigen Rechte zuzuweisen. Das würde auch gar nicht funktionieren, denn was tun wir, wenn nachträglich neue Dateien angelegten werden?
Deshalb gibt es die Vererbungen. Vererbung bedeutet: Wir stellen die richtigen Zugriffsrechte ein einziges Mal für einen Ordner ein und schalten dann die Vererbung ein. Die Rechte gelten jetzt für alle Dateien und Unterordner, die in diesem Ordner liegen. Und zwar nicht nur die derzeitigen Dateien und Ordner, sondern für alle Dateien und Unterordner, die künftig angelegt werden.
Windows XP/2000 verwendet die Vererbung normalerweise von ganz allein. Wenn wir also einem Ordner Recht verleihen und dann im Ordner Dinge speichern, gelten dieselben Rechte auch für die Dateien im Ordner. Gut,so genügt es nämlich, ein für allemal die Sicherheitsrechte eines Ordners festzulegen. Die einzelnen Dateien und Unterordner, die wir dann im Ordner aufbewahren, brauchten wir noch nicht einmal mit dem linken Auge anzuschielen sie sind automatisch durch die Vererbungen ebenso gut geschützt wie der Ordner, in dem sie hausen.
Nur wenn wir die Vererbung ausnahmsweise durchbrechen wollen, zum Beispiel, um einer Datei völlig andere und abweichende Rechte zu geben, schalten wir die Option Vererbbare übergeordnete Berechtigungen übernehmen ab. Jetzt gelten die Einstellungen nur noch für das gewählte Objekt (und seinen Inhalt, wenn es ein Ordner ist). Die Sicherheitseinstellungen ändern sich aber nicht mehr nachträglich, selbst dann nicht, wenn an übergeordneten Ordnern herumgefummelt wird, weil die Rechte übergeordneter Ordner nun nicht mehr weitergegeben werden.
Wie bei jedem guten Schließsystem können wir uns auch bei Windows 2000 prima selbst ausschließen. Das ist ganz einfach. Wir bräuchten dazu nur bei einer Datei dem Benutzer "Jeder" jeglichen Zugriff zu verweigern. Weil jeder Mitglied in der Gruppe "Jeder" ist, hat nun niemand mehr Zugriff auf die Datei. Auch die Sicherheitseinstellungen sind jetzt tabu, denn dafür fehlen nun ebenfalls die Zugriffsrechte.
Was Tun? Hier gibt es zwei Auswege:
· Als Besitzer einer Datei können wir immer die Sicherheitseinstellungen ändern und jedes Malheur wieder ungeschehen machen. Der Besitzer der Datei ist derjenige, der die Datei angelegt hat.
· Als Administrator (oder genauer gesagt als Mitglied der Gruppe der Administratoren) verfügen wir über das Windows-Grundrecht "Übernehmen des Besitzes von Dateien und Ordnern". Wir können also jederzeit den Besitz an einer gesperrten Datei übernehmen und anschließend die Sicherheitseinstellungen reparieren.
Und wie übernimmt man den Besitz an einer gestrandeten Datei? Zum Beispiel so:
Klickt die Datei mit der rechten Austaste an und wählt Eigenschaften. Dann klickt auf das Register Sicherheitseinstellungen. Fehlen uns die Zugriffsrechte, erscheint die Meldung, dass wir als Administrator zumindest den Besitz übernehmen können. Klickt auf OK.
Das Fenster mit den Sicherheitseinstellungen erscheint. Wahrscheinlich sind alle Listen leer, denn uns fehlen die Berechtigungen, die Sicherheitseinstellungen anzuzeigen. Weil wir aber Administrator sind, haben wir einen Ausweg. Klickt auf Erweitert.
Auch in diesem Dialogfenster herrscht trostlose Leere. Aber nicht mehr lange, denn nun spielen wir Ihre Trumpfkarte aus und übernehmen den Dateibesitz. Dazu klicken wir auf das Register Besitzer.
Sucht in der Liste "Besitzer ändern auf" unser Benutzerkonto aus und klickt auf OK. Nun sind wir der Besitzer der Datei.
Klickt auf OK, um das Dialogfenster zu schließen. Dann klickt noch einmal die Datei mit der rechten Austaste an und wählt Eigenschaften.
Weil wir nun der Besitzer der Datei sind, erscheinen die Rechte selbst dann, wenn wir uns eigentlich selbst ausgesperrt haben. Wir können nun die Rechte reparieren und zum Beispiel die Sperre für "Jeder" entfernen oder andere Sperrungen streichen, die uns stören.
Das steckt dahinter ...
Derjenige, der eine Datei oder einen Ordner anlegt, wird automatisch dessen Besitzer. Der Besitzer hat ein unumstößliches Recht, das ihm niemand wegnehmen kann: Der Besitzer kann immer und unter allen Umständen die Sicherheitseinstellungen der Datei oder des Ordners ändern. Der Besitzer ist damit das wirksame Gegengift gegen verlorene Schlüssel, wenn es um die Windows 2000/XP-Zugriffssicherheit geht.
Der Besitz ist allerdings übertragbar. Hat der Besitzer einem anderen Benutzer oder einer Gruppe das Recht gewährt, den Besitz zu übernehmen, kann der Besitz nachträglich auch auf andere Benutzer übertragen werden. Der ursprüngliche Besitzer verliert dann den Besitz, ganz so wie im realen Leben – "es kann nur einen geben".
Ein wenig anders ist das nur bei Administratoren. Legt ein Administrator ein Objekt an, wird nicht der Administrator selbst zum Besitzer, sondern die ganze Gruppe der Administratoren. Administratoren können – als legitime Besitzer – also immer die Sicherheitseinstellungen von Objekten ändern, die andere Administratoren angelegt haben.
Genau genommen ist die Besitzer-Regelung nicht nur der Notschlüssel, sondern zudem ein weiterer Schutzmechanismus.
Stellt euch vor, der Chef einer Firma hat seine Dokumente mit den Strategieplanungen besonders gut geschützt, damit niemand seine neuesten Geschäftsideen abkupfern kann.
Ein Administrator könnte nun dank seiner Machtfülle die Sperrung durchbrechen. Das, was im Notfall sinnvoll und lebenswichtig ist, würde hier zu einer Brechstange.
Da der Administrator aber nur dann die Sicherheitssperren durchbrechen kann, wenn er zuvor den Besitz an der Datei übernimmt, hat er sich unwiderruflich geoutet. Der Chef kann nämlich die Spuren des Einbruchs – also den geänderten Besitzer – entdecken, weil der Administrator zwar den Besitz an Dateien übernehmen kann, nach erledigter Spionage aber keine Möglichkeit hat, die alten Besitzrechte wiederherzustellen.
Cerberus
|
|
