3. Windows installieren

Windows installieren

  • V

    hi!
    es geht ja das schmutzige gerücht um, windows sei unsicher und kinderleicht zu installieren. ich habe fast den eindruck, dem ist nicht so.

    sicher isses natürlich, aber man muß ein oder zwei handgriffe davor vornehmen. ich hab mal ein wenig mitgeschrieben, was ich zur zeit so treibe und bin drüber erschrocken, daß die liste lang und länger wird. das rechnerchen soll einach nur mails holen und schicken können, nen compiler, nen webserver, ein paar kleine tools und scriptsprachen (für den webserver) drauf haben. naja, lest selbst:

    (falls was ganz doof dabei ist, sagt auch bescheid.)

    netzwerkkabel rausziehen
//frisch installiertes win ist offen wie tor von scheune
//daher installieren ohne die bösen angreifer am kabel

windows xp installieren (noch nicht aktivieren)
//aktivieren kann man noch, wenn die installation fertig ist und alles 
//funktionierte. vorher wäre es verfüht, die windows-lizenz an die hardware 
//zu binden.

dabei ersten benutzer anlegen
//kriegt normalerweise deinen vornamen als namen

papierkorb ausschalten
//papierkorb bringt eh nix im vergleich zu nem gescheiten backupwesen

gpedit.msc/Benutzerkonfiguration/Administrative Vorlagen/Desktop
Papierkorb vom Desktop entfernen
//anzeigen des ausgeschalteten papierkorbs wäre auch unfug.

gpedit.msc/Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/
Kontorichtlinien/Kuntosperrungsschwelle auf 5 setzen
//macht bruteforcer erstmal platt

Lokale Richtlinien/Anmeldeereignisse überwachen die fehlgeschlagenen
//klaro, will schon mitkriegen, wenn einer doch angreift

Sicherheitsoptionen/Anwendern nicht erlauben, Druckertreiber zu installieren
//das unverständlichste loch hier zumachen

//todo: nur siegnierte treiber

Sicherheitsoptionen/Interaktive Anmeldung kein Strg+Alt+Ent deaktiviert
//auch ein unverständliches loch

//Sicherheitsoptionen/Interaktive Anmeldung letzen Benutzernamen nicht anzeigen aktiviert
ja nicht erleichtern, daß der user dauernd sich als root anmelden will

Sicherheitsoptionen/Konten Administrator umbenennen root
//man fühlt sich doch gleich viel wohler so, gell?

Eigenschaften von Anzeige/Desktop
hintergrundbils aus
//war pure ram-verschwendung
hintergrundfarbe 140 97 91
//über geschmack läßt sich streiten

Energieverwaltung/Energieschamas
Standby 10min
//falls mal vergessen wird, eim rechner-verlassen standby zu drücken

Energieverwaltung/Erweitert
kein Kennwort anfordern
//der benutzer kann ja eh nix böses machen

Beim drücken des netzschaltern computer in ruhezustand
//logo, dafür ist der ruhezustand doch da.

Startmenu anpassen/Erweitert
Systemsteuerung als Menu anzeigen
//auch logo

Sstemsteuerung/Netzwerkverbindungen/LAN
firewall hoch
//endlich
//jetzt kann das netzwerkkabel wieder rein

DFÜ-Verbindung erstellen
name: VR-Web
rufnummern: 019103000 und 019103111
name und password leer lassen
//natürlich leer lassen, denn root hat eh nicht zu surfen

arbeitsplatz/verwalten/lokale benutzer
ersten benutzer zum "Benutzer" machen
//so, endlich ist der benutzer schwach und nur noch root stark

reboot
//ausloggen reicht auch

als root einloggen

hintergrundbild wegmachen

systemsteuerung als menu anzeigen

systemsteuerung/software/windows
indexdienst an
//hilfreicher dienst. aber später sollte er gut konfiguriert werden

msn explorer aus
outlook express aus
windows messenger aus
//weg mit dem schrott. man braucht die nir, aber ärgert sich arg, wenn man 
//den kram doch mal öffnete

zuberhör/spiele aus
//ist ja kein gutes dabei

c:\lager anlegen
datenträgerverwaltung, lagerplatte nach c:\lager mounten
//ist einfach sinnvoller, als nen laufwerksbuchstaben dafür wegzumachen

von c:\lager\install\...
far installieren
//bester file-manager für windows

neuen far-verknüpfung belegen mit taste strg+* (ziffertastatur)
und schriftart 10x18
//strg+* hat sich bewährt. kommt man schnell an far, gibts auch keinen 
//ärger mit dem explorer

ab jetzt in far weiter

links und rechts full
system settings
delete to recycle bin aus
use system copy routine an
auto save setup an
editor settings einstellen
save setup
//die default-settings von ar sind ein witz

xp power toys/tweakuipowertoys installieren
tweakui/logon/autologon user und password auf den ersen benutzer setzen

systemsteuerung/benutzerkonten
dem das passwort auch machen
//sich fühlen wie unter win98, aber trotzdem nicht root sein

ms office installieren
alles auf "bei der ersten verwenung installieren"
// die platte lager ist ja eh eingebaut. wozu also die hauptplatte vollknallen?

ms outlook weg
//outlook ist böse
ms frontpage weg
//frontpage ist unfog
office tools/office assistent/alle wegmachen
//die assis stören gewaltig
office aus autostart löschen
//ram-verschwendung und sicher unnütz, wenn man office-anwendungen nur 
//einmal in der woche öffnet

bin nach programme/bin kopieren
und pfad drauflegen
//endlich wget und freunde

keyboard-programm installieren
//leider bei mir notwendig, um die standby-taste zu haben

hamster nach Programme/Hamster kopieren
hamster starten
user hinzufügen (volkard)
passwort für den user setzen
lokale mail-adresse angeben (volkard@normannia.de)
password für ras-connection setzen
smtp-server setzen
pop-server setzen
scripts zum mail-transfer bauen
//root wird also die mails vom netz holen
kleiner vorschlag:
do
 label(start)
 if(RasIsConnected())
  runscript("transfer.hsc",,true)
  sleep(120000)
  goto(start)
 endif
 if(FileExists("c:\\var\\fetchmail.sgn"))
  HamRasDial("VR-Web")
  runscript("transfer.hsc",,true)
  HamRasHangup()
  FileDelete("c:\\var\\fetchmail.sgn")
  sleep(5000)
  goto(start)
 endif
 sleep(1000)
 goto(start)
loop

"hamster.exe main.hsc" in geplante tasks machen.
//so läuft hamster den als root immer mit, obwohl man seit wochen nicht 
//als root angemeldet war.

The Bat installieren
(aber keinen account anlegen)
//root arbeitet eh nicht

c:\var anlegen
//aha, damit kann der user bescheid sagen, daß er neue mails haben mag

explorer/Extras/Ordneroptionen/Ansicht/Einfache Dateifreigabe aus
//und sehe da, man kann doch benutzerrechte einstellen

Erweiterungen bekannter Typen aus
//endlich übersicht

auf c:\ die speziellen berechtigungen für "Benutzer" wegmachen
//keine ahnung, weshalb benutzer hier rumsauen konnten

auf c:\var für "Benutzer" ändern,schreiben erlauben.
//und auch mal testen mit "echo.>c:\var\fetchmail.sgn"

dringend noch zu installieren:
mySQL
mod_python
python
apache
mingw studio
acrobat reader
    0
  • D

    Sicherheitsoptionen/Interaktive Anmeldung kein Strg+Alt+Ent deaktiviert
    //auch ein unverständliches loch

    Was bringt das eigentlich, mit dem Strg+Alt+Entf?

    xp power toys/tweakuipowertoys installieren
    tweakui/logon/autologon user und password auf den ersen benutzer setzen

    und jetzt wird der User ohnehin automatisch eingeloggt? 😕

    0
  • V

    DrGreenthumb schrieb:

    Was bringt das eigentlich, mit dem Strg+Alt+Entf?

    stg+alt+entf ist duch kein programm umbiegbar. damit ist sichergestellt, daß der einlog-dialog auch wirklich der echte ist und kein fake, den jeder penner mit vb zusammenklicken kann, um das root-passwort zu klauen.

    und jetzt wird der User ohnehin automatisch eingeloggt? 😕

    jo, der ist ja beschränkt. wenn jemand in meine wohnung einbricht, kann er also meine daten lesen und kaputtmachen. er kann aber auch den ganzen rechner klauen. wer den rechner nicht klaut, kann nix erhebliches kaputtmachen, da er nicht root ist.
    edit: ich verlasse den rechner oft mal kurz und will nicht jedesmal beim wiederkommen das passwort eingeben. müßte ich aber entweder fordern, wenn ich beim booten ein passwort verlangte, oder einsehen, daß das beim booten nix bringt, wenn nicht bei jedem gang zum kühlschrank es auch gefordert ist.

    0
  • N

    DrGreenthumb schrieb:

    Was bringt das eigentlich, mit dem Strg+Alt+Entf?

    Außerdem soll so eine Anmeldung ohne physikalischen Zugriff verhindert werden.

    0
  • E

    Also, zum Teil ist die Anleitung ganz nett, vor allem den Teil mit dem Netzwerkabel mache ich auch.

    Aber so ein Quark wie Papierkorb wegmachen oder was auch immer danach noch war - okay, dein System, aber ich will damit niemals arbeiten müssen.

    Ich finde es schrecklich, wenn Leute mit Paranoia oder anderen Ticks PC für viele Bentuzer einrichten dürfen. Ich kann hier jeden Tag einem zusehen und liege regelmäßig vor Lachen unter dem Tisch, weil er wieder Blödsinn macht.

    Du versucht wohl Linux nachzumachen - er DOS. Beides verursacht beim Beobachter Lachanfälle. :p 🤡

    0
  • S

    Das wichtigste fehlt:

    - aktuelles SP installieren
    - Blaster Patch installieren
    - Kabel wieder rein
    - windowsupdate, und alle anderen sicherheitsrelevanten Patches installieren.

    0

  • schick, ich werde es mir mal abspeichern,
    falls ich irgendwann mal ein windows über 98 installieren muss
    (die zeiten werden kommen, ich werde nicht dran vorbei rutschen können 😞 )

    0
  • S

    estartu_de schrieb:

    Ich finde es schrecklich, wenn Leute mit Paranoia oder anderen Ticks PC für viele Bentuzer einrichten dürfen. Ich kann hier jeden Tag einem zusehen und liege regelmäßig vor Lachen unter dem Tisch, weil er wieder Blödsinn macht.

    Du versucht wohl Linux nachzumachen - er DOS. Beides verursacht beim Beobachter Lachanfälle. :p 🤡

    Was ist daran lustig?
    Die Windows Standardeinstellungen sind halt unsicher. Ob man alles machen muss was volkard macht, ist sicher persönliche Ansicht - aber generell mache ich es ähnlich.

    PS:
    und was hat das mit Linux oder DOS zu tun (bzw. was haben Linux und DOS miteinander zu tun?)
    😕

    0
  • D

    SG1 schrieb:

    - aktuelles SP installieren
    - Blaster Patch installieren
    - Kabel wieder rein

    Wenn man hinter einem Router (richtig eingestellt - vorrausgesetzt), kann man ja das kabel drin lassen und die Patches in ruhe runter ziehen...

    0
  • V

    estartu_de schrieb:

    Aber so ein Quark wie Papierkorb wegmachen oder was auch immer danach noch war - okay, dein System, aber ich will damit niemals arbeiten müssen.

    das ist natürlich nur für mich gemacht. den papierkorb wegmachen erlaube ich mir nur, weil ich seit nem halben jahr nicht mehr im papierkorb nach gelöschten sachen suchen mußte.
    und es wird folgen, daß meine sourcecodes mindestens einmal pro tag auf meinen web-server gebackuppt werden.

    Ich finde es schrecklich, wenn Leute mit Paranoia oder anderen Ticks PC für viele Bentuzer einrichten dürfen. Ich kann hier jeden Tag einem zusehen und liege regelmäßig vor Lachen unter dem Tisch, weil er wieder Blödsinn macht.

    kenn ich. hab jahrelang regelmäßig an nem pc gesessen, dessen uhr falsch ging aber ich durfte sie nichtmal korrekt stellen, weil das nur admins durften.

    Du versucht wohl Linux nachzumachen - er DOS. Beides verursacht beim Beobachter Lachanfälle. :p 🤡

    tja, ich hasse es, alles in "C:\Dokumente und Einstellungen\volkard\Eigene Dateien" liegen zu haben. ich hab sie jetzt auf D:\. ein kleines logonscript hilft.

    mkdir "%userprofile%\home"
subst d: "%userprofile%\home"

    ja, ich hab kein "cd ~" und keine möglichkeit, immer ~ zu schreiben, wo ich mag. also schreib ich d:\ statt ~ und kann damit leben. würde ich nicht manchmal bei linux gucken, was die für praktische dinge kennen, würde ich vermutlich immernoch dateien mit der maus kopieren.

    zufällig richte ich heute oder morgen für nen fremden so nen windows-rechner ein. was ich bei ihm lassen werde, ist daß er nicht als Administrator surfen soll. hab ihm 7 dialer weggemacht und bestimmt nochmal so viele nicht gesehen. aber er wird sich natürlich als Benutzer selber druckertreiber ziehen können, nen papierkorb haben, die uhr stellen können und all das. sogar die tele-tubbies-wiese bleibt drauf.
    ich wollte hier nicht vorstellen, wie man für fremde leute win installiert, sondern wie ich es mag. zum einen, weil es erschreckend lang ist und die 20 seiten gentoo-installationsanleitung (dank der freund ein #cpp klappte das sogar) verlieren ihre außergewöhnlichkeit. und da hier auch viele programmierer sind, haben sie evtl manchmal ähnliche vorlieben wie ich und tauschen mit mir tricks.
    das backup-programm wird noch gebaut werden müssen.

    0
  • V

    SG1 schrieb:

    Das wichtigste fehlt:

    - aktuelles SP installieren
    - Blaster Patch installieren
    - Kabel wieder rein
    - windowsupdate, und alle anderen sicherheitsrelevanten Patches installieren.

    updates saugt win von allein, sobald es am netz ist.
    bin davon ausgegangen, daß die interne firewall gegen die angreifer dicht macht, selbst ohne besondere patches. SP1 ist bereits auf der windows-cd, die ich habe.

    0
  • V

    Shade Of Mine schrieb:

    PS:
    und was hat das mit Linux oder DOS zu tun (bzw. was haben Linux und DOS miteinander zu tun?)
    😕

    man benutzt in DOS den norton-commander und in Linux den midnight-commander.
    da beide fast gleich aussehen und ähnlich praktisch sind, sind beide betriebssysteme gleich.
    daß ich unter win die frechheit besitze, den mülligen explorer zu meiden, und far (sieht genauso aus, wie der norton/midnight-commander) benutze, versuche ich dos/linux nachzumachen.
    ist doch ganz einfach, oder?

    0
  • T

    Deshalb nach dem ganzen Quark -> Image ziehen, dann spart man sich das beim nächsten mal. Nach der dritten Neuinstallation hatte ich das langsam mal raus :).

    Ansonsten bin ich da ziemlich blauäugig -> entweder die Firma sorgt für Sicherheit (Server -> Firewall) oder meine Daten haben halt pech gehabt (ich sicher für mich auch langfristig interessante Quellcodes eh noch mal privat).

    0
  • S

    volkard schrieb:

    das backup-programm wird noch gebaut werden müssen.

    Da ueberlege ich auch gerade - da ich einen Content-Server bei mir rum stehen habe, dachte ich mir, es muesste ja vernuenftig moeglich sein bestimmte Ordner gezipt (vermutlich als *.tar.gz) auf den Content-Server zu kopieren und die Freigabe dort zu kappen -> so dass die Daten nur noch durch einen Festplatten crash verloren gehen koennen, da sie uebers Netzwerk nicht erreichbar sind. Dort laeuft ein Samba Server und die Festplatte mit den Shares ist als 'nicht ausfuehrbar gemountet' (das sollte gegen Angriffe von aussen schuetzen ;)).

    Nur ueberlege ich, wie man diese Backups am besten erstellt. Vorallem wie man dem Samba Server sagt: jetzt gib das Backup Share frei.

    uU n kleinen Daemon dort laufen lassen, der nur die Daten entgegen nimmt und keine returned (Backups zurueckspielen ist bei mir Admin Aufgabe - dies sollte unter normalen Umstaenden ja nicht vorkommen).

    oder uebertreibe ich gerade?

    0
  • V

    oder uebertreibe ich gerade?

    nein. übertreibungen gibts doch gar nicht bei sowas.
    ich dachte nur in ne ganz andere richtung. die langen netzwerkwege und mein verlangen, das backup in nem anderen haus zu haben, verlangen eh kryptografie.

    ich lasse einfach die *.tar.bz2 durch gpg laufen und krieg ne *.tar.bz2.gpg und die kann ich ruhigen gewissens auf nen beliebigen fremden ftp-server uppen. und da der in nem anderen haus, ner anderen stadt, nem anderen land ist, gehen vermutlich nicht mein rechner und der ftp-server gleichzeitig kaputt.

    die scripts zum erzeugen der .tar.bz2.gpg und uploaden sind trivial. das "backup-programm" wird als aufgabe haben, die richtigen dateien auszusuchen. sowas wie
    +
    -/Debug/
    -/Release/
    -.bak
    -    .tmp
    -.ncb
    -/var/
    ähm. für masken wie /Debug/ hat kein packer, den ich kenne, verständnis. und eh will ich keine global rumgammelnden (am schluß sogar nur durch admin änderbare) listen, was gepackt werden soll. nee, ich will ähnlich wie die .htaccess das auf verzeichnisebene dem user erlauben. ich denke, damit könnt ich leben. ob ich für /Debug/ ne regexp-klasse schreiben soll? hab leider gar keine große lust dazu.

    0
  • N

    Cool, volkards Windows-System klingt ja schon fast richtig benutzbar. 🙂

    ShadeOfMine: Warum löst Du das ganze nicht mit CVS oä? (siehe dazu auch hier)
    Ich hätt auch noch eine dumme Frage: Kann Windows eigentlich NFS? 😕

    0
  • S

    volkard schrieb:

    nee, ich will ähnlich wie die .htaccess das auf verzeichnisebene dem user erlauben. ich denke, damit könnt ich leben. ob ich für /Debug/ ne regexp-klasse schreiben soll? hab leider gar keine große lust dazu.

    Was hältst du von folgendem ansatz?

    eine globale .backup.conf datei, die sieht in etwa so aus:

    path = /home/schorny
path += /usr/whatever
#ignoriere backup dateien: foo~
file_exclude = .*~
#was soll ausgeführt werden?
#%files% sind alle gefundenen dateien
#%timestamp% ist ein generierter timestamp
#erstelle tar
execute = tar -cf /backup/%timestamp%.tar %files%
#erstelle tgz
execute += tar -czf /backup/%timestamp%.tgz /backup/%timestamp%.tar
#lösche tar
execute += rm -f /backup/%timestamp%.tar

    bei path werden die grundlegenden pfade angegeben, denn ich will mir das durchsuchen von irgendwelchen riesigen system ordnern oder ähnliches sparen (man kann notfalls ja auch path = / setzen :))

    in diesen 'path' verzeichnissen gibt es .backup dateien.
    diese sehen in etwa so aus:

    #nur ordner die mit . beginnen parsen
    path_include = \.*
    #darf sub ordner regeln überschreiben?
    allow_override = true

    ich hab da gerade nen prototypen in php implementiert (da mich boost::filesystem doch etwas verwirrt hat)

    0
  • N

    Nimm lieber rsync, damit kannst Du auch gleich div. race-conditions elegant vermeiden.

    0
  • J

    volkard schrieb:

    tja, ich hasse es, alles in "C:\Dokumente und Einstellungen\volkard\Eigene Dateien" liegen zu haben. ich hab sie jetzt auf D:\. ein kleines logonscript hilft.

    unnötig. Rechtsklick auf das "Eigene Dateien"-Icon, den Pfad richtig konfigurieren, gut is.

    -junix

    0
  • M
    Mod

    volkard schrieb:

    ich lasse einfach die *.tar.bz2 durch gpg laufen und krieg ne *.tar.bz2.gpg und die kann ich ruhigen gewissens auf nen beliebigen fremden ftp-server uppen. und da der in nem anderen haus, ner anderen stadt, nem anderen land ist, gehen vermutlich nicht mein rechner und der ftp-server gleichzeitig kaputt.

    Die Idee ist ja nicht schlecht, aber mein Backup umfasst inzwischen 6 GB an Daten, die auf keinen Fall verloren gehen dürfen. Das wird ein immer heißeres Eisen, mit RAID1, Backup auf weitere Platte, Backup auf DVDR, DVDR regelmäßig in verschiedenen externen Plätzen außerhalb des Hauses. Aber verflucht aufwendig inzwischen.

    0
  • S

    Marc++us schrieb:

    mein Backup umfasst inzwischen 6 GB an Daten,

    komprimiert oder unkomprimiert?
    Darf man auch fragen welcher Art diese Daten sind?

    Da es regelmäßige Backups sind, gehe ich mal davon aus, dass es Daten sind die sich ändern können. Wenn ich da bei mir alles zusammenzähle, komme ich nichteinmal annährend auf 100MB (OK, ich habe auch nur wenig Daten).

    Ist bei den 6GB etwa das Forum dabei?

    0
Anmelden zum Antworten