Sie sind hier: Zentrale | Server-Einrichtung | Windows-XP für Heimserver  Harry Boeck - Heimserver

Windows-XP für Heimserver

Hier ging es um die Ersteinrichtung von einem Windows XP, wobei der Schwerpunkt auf dem experimentellen Annähern an eine sichere Konfiguration bestand.

Auf meiner Arbeit hatte ich genau gleichartige Probleme zu lösen. Dort ging allerdings - allein schon aus zeitlichen Gründen - die Entwicklung viel schneller voran. Inzwischen habe ich meinen Arbeitsplatz mit Windows XP komplett neu eingerichtet und dabei die Erfahrungen der letzten Monate einbezogen. Mit umgezogen ist der Heimserver samt gründlicher Überarbeitung der gesamten Konfiguration. Siehe dazu: Arbeitsplatz und Server unter Windows-XP.html

Das hier beschriebene System wird deshalb nicht weiter benutzt. Ich betrachte es als abgeschlossenes Experiment. Auf dem alten stromsparenden Rechner werde ich demnächst - sobald mal wieder Zeit ist - einen neuen Versuch der Einrichtung von Linux starten.



Nach allen rein technisch und auf den Server-Zweck orientierten Argumenten wäre das vernünftigste OS für meinen Heimserver ein Windows 98. Das wäre hier nur um 150 MByte auf der Festplatte groß (hätte keinerlei Schnickschnack alias DirectX, Internet Explorer, Office oder so zu ertragen). Zusammen mit einem vollausgebauten AMP-System kommt man damit auf etwa 250 MByte Systemgewicht. Der Rest wären nur noch Nutzdaten. Von sowas ist ein Backup innerhalb des Systems in etwa 10 Sekunden angelegt und auch wieder zurückgespielt. Übers Netz würde es etwa 30 Sekunden dauern. Die Idee ist noch lange nicht vom Tisch.

Aber ERSTMAL habe ich Windows 98 auf meinem derzeitigen Server und Arbeitsplatz zu laufen und eine Windows XP-Lizenz ungenutzt rumliegen. Zudem benötige ich ohnehin Erfahrungen mit dem Einrichten von Windows XP für meinen Beruf. Also fiel die Entscheidung erstmal darauf, die Einrichtung von Windows XP zu testen, Erfahrungen zu sammeln und es vielleicht ja doch auf dem Mini-Server zu behalten.

Themen:

Grundinstallation

Das "Windows XP Professional mit integriertem Service Pack 2" ließ sich im Gegensatz zum Linux ohne einen Hänger und neben dem bereits installierten und aus uralten Zeiten und noch vom Schwager stammenden Windows 98 installieren.
Es beansprucht dabei für eine GUI, die ausgereifter als jene vom Linux ist und mir genauso wie die ausgereifte vom Linux jede Menge unwillkommene und damit sofort wieder abzustellende Feature als Arbeitsbelastung bietet, nur 2/3 des Festplattenplatzes, den Linux für sich in Beschlag zu nehmen gedachte.
Zudem funktioniert es. Auf Anhieb. Mit GUI.

Ersteinrichtung

Was zuerst drankam, damit ich wieder mit einiger Wahrscheinlichkeit eine mit der Maus angepeilte Stelle innerhalb dieser GUI auch treffe, war das Abstellen dieser schwachsinnigen Blend-Effekte und "angepaßten Menüs". Mit anderen Worten: Das gute alte Windows 98-Erscheinungsbild.
Jetzt konnte ich schon wieder hantieren wie gewohnt. Die erste Hürde war weg.

Als nächstes folgten ein paar Momentaufnahmen des Systemzustands mit Bordmitteln: Eine Prozeßliste und eine Liste der offenen Ports:
...Na ja. War ja nicht anders zu erwarten.
Heutzutage wahrscheinlich ungefähr dasselbe wie unter einem Linux-System. Allerdings mit dem Umstand, daß ich hier bereits mit wenigen Mausklicks an der Stelle war, wo ich die meisten ungebetenen und bereits bekannten Gäste loswerden konnte. Unter Linux hätte mich das allein wahrscheinlich einen weiteren Tag gekostet.

Dann schaltete ich zunächst die Windows-eigene Firewall auf Maximum, holte mir den Firefox samt Sicherheits-Grundausstattung (NoScript, RefControl) vom Rechner nebenan und besorgte erstmal die Sysinternals-Tools (sicherheitshalber direkt von Sysinternals, falls doch irgendeines darunter gewesen sein sollte, das eine spezielle Variante unter XP benötigt).

Dienstezurechtstutzung

Dann ging die Analyse und Zurechtstutzung des Systems weiter, unter Ausnutzung des Internets und mit Installation der Kerio Personal Firewall. Die Windows-eigene Firewall wurde nach deren Installation wieder deaktiviert.

Die Firewall dient mir in erster Linie dafür, den Umstand der absolut minderwertigen - soweit überhaupt vorhandenen und so nennbaren - Dokumentation der Automatismen für Endanwender zu kaschieren. Etwas, was jede Firewall problemlos beherrscht. Erst in zweiter Linie dient sie dazu, eine zusätzliche Schicht zur Abwehr von Einbrüchen zu schaffen, wo ich von ihr eine Funktion als Hindernis erwarte. Dafür ist die kleine Kerio-Firewall in einer der zweier-Versionen vollkommen hinreichend und angenehm einfach zu begreifen und zu konfigurieren.

Die Ersteinrichtung der Regeln war ein bißchen nervig, aber das kannte ich schon von verschiedenen anderen Gelegenheiten her. Das muß man einmal über sich ergehen lassen, dann geht's. Die Regelübernahme von Windows 98, die ich auch probierte, klappte so nicht, weil ja die Checksummen in nur wenigen Fällen übereinstimmten und die Systemaktivitäten fast gänzlich andere sind.
Die Standard-Regel für Dateifreigaben, die von der Firewall angeboten werden, benutze ich nicht, weil ich die Dateifreigaben zumindest in diesem konkreten System nicht haben möchte.

Bei jeder Meldung der Firewall schlug ich im Internet nach, wurde fündig, fand meist recht schnell eine Erklärung, warum ich diesen Dienst oder diese Aktivität im Netz NICHT benötige, konnte sie erstmal unterdrücken (oder in den wenigen anderen Fällen zulassen) und hatte schließlich ein System, das nach außen erstmal dicht und nach innen noch funktionsfähig war.

Dann ging es daran, alle von der Firewall erstmal gesperrten Dienste, die ich nicht benötige, loszuwerden. Wieder mit Internet-Hilfe. Und die Regeln für die Firewall zusammenzuschrumpfen. Nach einem Tag hatte ich das System soweit, daß nur noch zwei Gruppen vom "svchost" liefen und diese nur noch zwei Dienste bereitstellten (den "Directory Service" alias Port 445 und den "RPC-Endpointmapper" alias Port 135).
Ersteren konnte ich mit detaillierteren Anleitungen aus dem Internet schließlich auch noch loswerden. Letzteren konnte ich auch mit deren Hilfe nicht abstellen, weil ich dann auf bestimmte interne Dienste, die ich haben will, hätte verzichten müssen, während ich andere, die ich definitiv nicht haben will, hätte wieder zulassen müssen (jedenfalls, wenn das so, wie es da stand, tatsächlich 100%ig zutreffen würde).
Bei dem RPC-Endpunktmapper verlasse ich mich also zum einen auf die Firewall, zum anderen darauf, daß der Router so eingestellt ist, daß die Vermittlung sämtlichen internen Netzwerkverkehrs bis auf ein paar wenige Portbereiche und für Zieladressen innerhalb des LAN ohnehin total gesperrt ist.

Abschließend wurde die Konfiguration der Firewall gesichert, wieder Schnappschüsse des Systems aufgestellt und das alles in einen von der Windows-eigenen Verwaltung getrennten Dokumentebereich gestellt. Bei der nächsten Einrichtung ist die Regelübernahme eine Sache von einem Klick.

Dieses Niveau sollte eigentlich reichen. Zudem führte es dazu, daß die Speicherbelegung durch den Kernel laut Process Explorer zwischendurch auf rund die Hälfte zurückging (auf irgendwo im Bereich von 5 MByte). Mittlerweile hat sich das allerdings wieder relativiert, und ich habe noch keinen blassen Schimmer, wie diese Speicherbelegungsangaben zu interpretieren sind. (Beim Windows 98 war es immer so, daß es eine Summe gab, die dem physischen Speicher entsprach. Beim Windows XP ist es mir bisher nicht gelungen, irgendwelche Angaben im Windows-eigenen oder auch dem Sysinternals-Explorer zu entdecken, auf die dieses zuträfe...)

Anschließend Einrichtung von VNC, um den Server bequem vom Arbeitsplatz und ohne Umsteckung von Geräten bedienen zu können. Zunächst eine Einrichtung von VNC mit einem besonderen Konto getestet: Funktionierte wie erwartet mit eingeschränkten Rechten. Hat allerdings den Nachteil, sich nicht über den Login-Bildschirm als beliebiger Nutzer einloggen zu können. Also wieder durch einen VNC auf dem Standard-System-Konto ersetzt.


Um nochmal einen Vergleich mit einem Linux-System anzubringen: In dieser Phase nehmen sich Linux und Windows nicht allzuviel. Microsoft hat es noch nie fertiggebracht, sowas wie eine Reihe von sinnvollen Systemkonfigurationen zurechtzulegen (außer der Variante, den Anwender mit Feuer aus allen Rohren zu belegen), Linux aber auch nicht nach meiner Erfahrung.
In beiden Fällen muß man ein System für den speziellen Anwendungsfall sorgfältig zurechtkonfigurieren, will man nicht auf etwas sitzen bleiben, das man zu 99% nicht kennt und zu 99,9% nicht beherrscht, sondern von dem man bestenfalls beherrscht wird. In beiden Fällen ist die Dokumentation mindestens wochenlang entfernt von einem Zustand, der für einen Einsteiger verständlich wäre, um nur erkennen zu können, was für einen Sinn die aufgedrängelten Automatismen haben könnten.
Von didaktischen Fähigkeiten sind die Redmonde Programmierer genausoweit entfernt wie die OpenSource-Gemeinde der Linux-Fans. So muß man sich in jedem Fall reichlich mühsam einarbeiten.

Zur Philosophie der Dienstenutzung auf diesem System

Womit wir bei der recht fallabhängigen Betrachtung wären, was von den Automatismen von Windows als hilfreich und nützlich und was als hinderlich und/oder gefährlich einzustufen ist. In meinem Fall (Server für ein AMP-Gespann) sieht das so aus:
  • Ich will NICHT, daß irgendwelche Geräte, die aus welchem Grund auch immer zufällig ins Netz gehängt werden (sei es von mir aus Versehen oder sei es von Einbrechern mit Absicht), automatisch an irgendwelchem Ressourcenaustausch mit irgendeinem Rechner in meinem LAN teilnehmen.
    Mit dem Server-Rechner schon gar nicht zum Quadrat!
    WENN ich sowas wollen würde, würde _ICH_ _VORHER_ _BEFEHLEN_, daß dies so sein möge. Und in welchem Umfang. Wozu gehören würde, einen gegebenenfalls notwendigen Dienst explizit zu starten.
    Sowas wie Plug-and-Play kann ich INNERHALB der Grenzen der von mir besessenen Geräte ja noch dulden (obwohl ich das in meinem ganzen Leben noch nie benötigt hatte - es hatte immer nur Ärger bereitet). Aber Geräte, die sich von sich aus Gott und der Welt öffnen, gehen doch entschieden über meine Toleranzschwelle hinaus!

  • Ich will NICHT, daß irgendwer irgendwann irgendwas installieren oder überhaupt an der Konfiguration des Systems verändern KANN, es sei denn, ICH habe es EXPLIZIT VORHER genehmigt oder veranlaßt. Das schließt alle Dienste ein, die eben jene Aufgabe (das System zu verändern) haben.

  • Ich will NICHT irgendeinen der sogenannten Web-Dienste von Microsoft. Das können andere Leute SEHR VIEL besser. Und außerdem so, daß ICH die VOLLE Kontrolle über ALLES und IM DETAIL habe.

  • Ich will NICHT irgendeinen der Directory- oder sonstigen Ressourcen-Teilungs-Dienste von Microsoft.
    Der einzige Virenbefall, den ich in meinem Leben auf einem eigenen Rechner erlebt habe, war auf eben dem jetzt neu eingerichteten 1997er Rechner unter Windows 98 durch genau DIESEN ungebetenen Microsoft-Dienst hervorgerufen worden.
    Ich nutze sie in meinem Netz nicht. WENN ich auf Dateien des Server-Rechners direkt zugreifen will, dann tue ich das lesend über einen Internet-Browser und das HTTP-Protokoll, schreibend über einen Dateimanager und das FTP-Protokoll. Genau diese Art des Zugriffes ist es, die dieser dedizierte Server-Rechner vermitteln soll. Bearbeitet werden sollen die Dateien auf dem leistungsfähigeren Arbeitsplatzrechner, aber DAFÜR ist es eh viel sinnvoller, sie dort lokal liegen zu haben. Auf dem Internet-Server werden stets nur Kopien für die Veröffentlichung liegen.

    Etwas anderes wäre es, wenn ich den Server-Rechner als File-Server etwa für eine ganze Arbeitsgruppe benutzen wollte. Dann aber bewegen wir uns in ganz andere Funktions- und Anwendungsbereiche.

  • Ich will NICHT die GUI-Verhunzung, die bewirkt, daß ich bei jedem Mausklick erst mehrere Sekunden warten muß, bis sich das Interface soweit beruhigt hat, daß ich mit der Überlegung beginnen kann, wo ich als nächstes vielleicht hinklicken könnte.

  • Ich will auf Server-Rechnern mitnichten, daß ausgerechnet DIE sich automatisch Adressen im Netz zuteilen, weil es einfach zu viel jenseits der Microsoft-internen Welt gibt, das mit festen Rechneradressen einfacher aufzusetzen ist. (Das fällt allerdings auch schon in die ganz vorn genannte Klasse der Auto-Konfiguration...)

  • Microsofts RAS würde ich genau dann anerkennen, wenn alle beteiligten Module wie bei PGP offengelegt und dokumentiert wären, was voraussichtlich erst nach Microsofts Bankrott geschehen wird.

  • Für Microsofts "Sicherheits"-Module wie die integrierte Firewall und deren Signaturen gilt exakt das gleiche. Viel sinnvoller ist da das Backup vertrauenswürdiger Installationen solange sie vertrauenswürdig sind und deren Signierung mit dem eigenen Schlüssel. Alternativ sinnvoll wäre auch der Import von einem Microsoft-Schlüssel von Installations-CD, dessen Vergleich mit einem Online-Schlüssel und dessen Gegenzeichnung mit dem eigenen PGP-Schlüssel. Aber die MS-Programmierer sind ja offenbar nicht mal in der Lage, den Sinn dessen zu verstehen, geschweige denn, sowas zu programmieren...

  • Multimedia-Schnickschnack, der speicherfressend im Hintergrund auf nie vorbeiziehende Nutzer wartet und dessen einzige Aufgabe darin besteht, auf nie benötigte Aktualisierungen zu testen und dazu die Firewall-Regeln sinnlos zu belasten, gehört ebenfalls aus diesem System verbannt.

  • Microsofts "System File Protection" habe ich bei Windows 98 viel sicherer in eigener Regie realisiert, indem ich von den Systemzuständen an vertrauenswürdigen Punkten (wenn ICH die als vertrauenswürdig ansehe) Backups anlege und regelmäßig mit denen vergleichen lasse.
    Aber es ist erstmal nichts total danebenliegendes. Nur extrem unhandlich, weil nur über Verrenkungen zu steuern. Nichtsdestotrotz aber sehr wohl zu steuern, und zwar weltweit einheitlich und damit AUCH von besseren Viren alias Trojanern alias Einbrechern. WEIL es eben nicht mit einer nutzereigenen Verifikation alias Signierung alias Steuerung arbeitet, sondern mit globalem Einheitsbrei! Es ist also wieder mal eher ein Schutz von Microsoft gegen den unbedarften User anstatt des Users gegen Einbrecher.

    Die Funktion dieses Dingens ist, soweit ich das verstanden habe, so, daß irgendwo (in der Registry?) definiert ist, welche Programme geschützt werden, die dann irgendwie mit dem Start von Windows eine Überwachung bekommen, durch welche ihre Löschung oder Veränderung an die Benutzerverwaltung (?!?) gemeldet wird, die im DLL-Cache nachschaut, ob eine Datei selbigen Namens dort liegt und dann gegebenenfalls eine Wiederherstellung betreibt.
    Der DLL-Cache enthält nun fast das gesamte Windows als Kopie. Das MUß nicht sein. Das Windows ohne den DLL-Cache ist fast halb so groß. Die Wiederherstellung kann ich selbst genauso effektiv betreiben. Zugegebenermaßen in diesem Moment noch nicht exakt genauso automatisiert, aber das läßt sich möglicherweise erlernen.
Was Microsofts noch nie begriffen hat, ist der Fakt, daß verantwortungsbewußte Gerätenutzer gern die Kontrolle über ihre Geräte behalten möchten. Vielleicht hätten sie eine Art Zweigleisigkeit einbauen sollen in der Art, daß zu Installationsbeginn gefragt wird, ob man lieber keine Verantwortung oder aber die volle solche übernehmen will, um im letzteren Fall die Automatismen grundsätzlich anders zu gestalten als für DAUs.

Ergebnis der Dienstestutzung war ein System, das selbst ohne Firewall nach außen hin (also als Server) exakt einen Dienst alias Port im Angebot hatte, der sich als nicht abschalten noch konfigurieren ließ, nämlich den "RPC-Endpointmapper" alias Port 135, der jedoch durch die Firewall auf interne Datenleitungen beschränkt wurde.
Damit konnte das System erstmal als sicher für den Gang ins Internet für Updates eingeschätzt werden.
Mit der Benutzung des Firefox war es außerdem bereits sicher für allgemeines Surfen.
Mit der extremen Einschränkung der laufenden Dienste war es außerdem nicht mal als Administrator möglich, aus dem Stehgreif heraus schwerere Änderungen am System vorzunehmen oder Software zu installieren, weil dazu einfach jeweils etliche Dienste vonnöten waren, die standardmäßig (für den laufenden Serverbetrieb) abgeschaltet waren (und es immer noch sind), während alle gewünschten Funktionen bereitgestellt wurden und im Falle des Falles - nach explizitem Starten aller benötigten Dienste - auch jede übliche Änderung des Systems möglich war.

(P.S.: Auch der "RPC-Endpointmapper" alias Port 135 ist mittlerweile sauber, also ohne Beschränkung der sonstigen Funktionen, abgeschaltet.)

Updates

Der Internet Explorer, die Einstellung der Zugriffsrechte, die besonderen Sicherheitseinstellungen und die installierte Software waren bis dahin noch im Grundzustand (von den gestutzten Diensten mal abgesehen).

Jetzt folgte damit erstmal das Einspielen aller aktuellen Updates. Obwohl die Installations-CD eine ziemlich aktuelle (von Ende 2005) ist, gab es um 40 Updates einzuspielen. Glücklicherweise funktionierte das noch ziemlich automatisiert, so daß ich die Sache weitgehend sich selbst überlassen konnte.
Die Firewall beruhigte ich erstmal mit dem Zulassen aller resultierenden Zugriffe (der IE und der Service Host und wer sonst auch immer dürfen außerhalb des Windows Updates oder explizit von mir eingerichteter Aktionen keinerlei Zugriffe ins Internet ausführen).

Mit dem Einspielen der Updates sollten die gröbsten Schwachstellen der systemeigenen global wirkenden Treiber für den Internet-Zugriff erstmal ausgebügelt sein, so daß man halbwegs darauf hoffen kann, daß Modem/Router, Firewall und Betriebssystem-Treiber eine halbwegs absturzsichere Vermittlung bereitstellen.

Damit konnte die Aufmerksamkeit zur Einrichtung der Systemverwaltung und danach zur Feinkonfiguration und zur Einrichtung von Anwendungen gelenkt werden, die allesamt einen funktionierenden und sicheren Internet-Zugriff voraussetzen.

Einrichtung der Systemverwaltung

Es folgten Einrichtung von Werkzeugen zur Verwaltung des Dateisystems (Salamander/WinRar/Treesize/Filezilla/diverses von Sysinternals und Microsoft wie Fundelete, Dependency Walker, Duplicate Finder, WinDiff), zur Verwaltung der Zugriffssteuerung und Sicherheitsoptionen (u.a. diverse MMC-Plugins, verschiedene Sysinternals-Werkzeuge), für die Steuerung von Programmstarts und laufender Prozesse (diverse Sysinternals-Werkzeuge), für die Konfiguration verschiedener Systeminternas und Dienste und für die Überprüfung verschiedener Bereiche des Systems im laufenden Betrieb bzw. auf wenige Klicks entfernt.

Das Startmenü wurde bei der Gelegenheit komplett systematisch umgestaltet und außerdem in einer einheitlichen Form in den "all users"-Bereich geschoben.

Bereitstellung eines vernünftigen Editors (UltraEdit).
Einrichtung einer ordentlichen Fernsteuerung mit SSH/VNC.

Rechte-Feineinstellung

Das System nach der "Grundinstallation" ist zwar funktionsfähig und als Betriebssystem halbwegs aktuell und brauchbar zum Einrichten von Anwendungen, aber unbrauchbar in gefährlichen Umgebungen wie bei einem Betrieb als Server im Internet oder als Browser für DAUs.
Jetzt ging es darum, einen ordentlichen Grundstock für die Einrichtung des Gerätes für den täglichen Gebrauch bzw. den Dienst als Server zu legen.

Der Rechner soll hauptsächlich als energiesparender Server, aber auch hin und wieder als Reserverechner zum Surfen oder auch zum Spielen älterer bzw. einfacherer Spiele eingesetzt werden.
Dazu muß eingerichtet werden:
Inzwischen - nach vielen Monaten Experimenten - bin ich nicht mehr so strikt wie früher dagegen abgeneigt, in die Windows-verwalteten "Dokumente und Einstellungen" irgendwas wichtiges abzulegen. Letztlich sind die dort liegenden Daten nach einem sehr einfachen Schema aufgebaut und ohne weiteres kopierbar (bzw. sicherbar und restaurierbar), auch über die Neueinrichtung von Benutzern hinweg.
Meine erste Erfahrung mit diesem Verzeichnis Mitte 2005 war der Eindruck von Chaos und absoluter Auslieferung gegenüber der Willkür von Microsofts möglicherweise nicht sehr intelligenten Programmierern gewesen, als nach Ausfall eines Windows-XP-Rechners in meiner damaligen Arbeitsstelle ich gebeten wurde, mich drum zu kümmern, wobei ich ein Komplett-Backup der ganzen Festplatte machte und dann feststellen mußte, daß die wichtigsten Dateien der Benutzer, die vorher damit gearbeitet hatten, im gesamten Backup nicht mehr aufzufinden waren, obwohl die Leute schworen, ihre Daten immer "auf dem Desktop" oder in den "eigenen Dateien" abgelegt zu haben. Aus meiner heutigen Erfahrung heraus vermute ich, daß damals Zugriffsbeschränkungen, die von Benutzern für bestimmte Bereiche gesetzt worden waren, verantwortlich dafür gewesen waren, daß das Backup unvollständig blieb. Erst viel später hatte ich überhaupt solche Versteckspiele kennen- und mit ihnen umzugehen gelernt.

Trotzdem bleibe ich bei meinen Empfehlungen, die tatsächlich wichtigen eigenen Daten außerhalb der Bereiche anzulegen, die von auch nur einem einzigen möglicherweise suspekten Element eines nicht auch nur im Ansatz durchsichtigen Systems als zwingend für die Funktionsfähigkeit vorausgesetzt werden. Und genau das gilt für die "Dokumente und Einstellungen" beim Windows XP. Da ist man nicht besser aufgehoben als mit den älteren Windosen ohne Zugriffsverwaltung.

Überwachung

Die Überwachung besteht zur Zeit vor allem in einer Zusammenstellung von Links auf Logdateien, so daß die Systemaktivitäten erstmal in Ruhe und ohne was zu vergessen beobachtet werden können.
Im Laufe der Zeit sollen Auswertewerkzeuge dazukommen - naturgemäß hauptsächlich auf Datenbank/PHP-Basis.

Backup-System

Als Backup-System soll ein PHP-Script vom Win98-System übernommen werden. Was natürlich den Abschluß der Installation des Webservers voraussetzt, was noch in Arbeit ist...

Probleme

Update-Probleme nach Rechte-Feineinstellung

Wie es immer so schön mit Problemen ist, fallen die immer erst auf, wenn die Möglichkeiten, Ursache-Wirkungsbeziehungen herzuleiten, bereits in weiter Ferne verschwunden sind, jenseits dessen, was Sinn macht.
Da außerdem das Backup-System noch nicht eingerichtet ist, war erstmal die Kacke am Dampfen als das System-Update auf einmal nicht mehr funktionierte.
Momentan habe ich es wiederhergestellt, bin aber noch am Auswerten der Ursachen. Es hat ja keinen Zweck, in irgendwelchen Internet-Ecken verbuddelt Tips auf vollkommen abwegige Handlungen zu finden, die man nirgendwo systematisch einordnen kann, deshalb innerhalb weniger Tage wieder vergißt, und die vor allem nichts an der Wiederholung der Entstehung der Probleme ändern, solange man sie nicht den tatsächlichen Ursachen zugeordnet hat...

Neben der Feineinstellung der Zugriffsrechte kam auch noch eine Änderung der Internet Explorer-Konfiguration mit Aufnahme der Microsoft-Update-Seiten in den "vertrauenswürdigen Bereich" und ansonsten Sperrung aller Active-Blödeleien in Frage.

In diesem konkreten Fall war allerdings irgendwoher ein Registry-Eintrag "HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Safer" entstanden. Nach dessen Umbenennung lief die Sache wieder.