Me, myself & IT

---

Die Skripte XP_SAFER.INF (für Windows XP/2003), NT6_SAFER.INF (für Windows Vista/2008 [R2]/7/8[.1]/2012 [R2]) NTX_SAFER.INF (für Windows 10/2016/2019) konfigurieren und aktivieren die ab Windows XP von allen Editionen unterstützten Softwarebeschränkungsrichtlinien alias SAFER, um das Ausführen unerwünschter Programme für Normalbenutzer bzw. Nicht–Administratoren zu verhindern.
Die Installation erfolgt in einem Administrator–Konto durch Rechtsklick » Installieren.
Nach der erstmaligen Installation ist (aufgrund eines Fehlers in Windows) ein Neustart notwendig.

---

Die (nur minimal abweichenden) Skripte XP_SUPER.INF (für Windows XP/2003) und NT6_SUPER.INF (für Windows Vista/2008 [R2]/7/8[.1]/2012 [R2]) aktivieren die Softwarebeschränkungsrichtlinien auch für Administratoren.
Sie sind für völlig unbelehrbare, merkbefreite Benutzer, die weder den Unterschied zwischen Administrator und Normalbenutzer noch den zwischen den Dateisystemen NTFS und FAT kapieren wollen!

---

Unerwünschte Programme sind alle Programme, die weder im Windows–Verzeichnis (%SystemRoot% alias %WinDir%, typischerweise C:\WINDOWS\) und dessen Unterverzeichnissen noch im Programme–Verzeichnis (%ProgramFiles%, typischerweise C:\Programme\ bzw. C:\Program Files\, sowie %CommonProgramFiles%, typischerweise C:\Programme\Gemeinsame Dateien\ bzw. C:\Program Files\Common Files\, bei 64–bittigem Betriebssystem auch %ProgramFiles(x86)%, typischerweise C:\Programme (x86)\ bzw. C:\Program Files (x86)\, sowie %CommonProgramFiles(x86)%, typischerweise C:\Programme (x86)\Gemeinsame Dateien\ bzw. C:\Program Files (x86)\Common Files\) und dessen Unterverzeichnissen installiert sind (und damit den Minimalforderungen der über 20 Jahre alten Designed for Windows^™–Richtlinien nicht entsprechen).
Da Normalbenutzer bzw. Nicht–Administratoren auf dem Dateisystem NTFS in diesen Verzeichnissen (mit wenigen, in den Skripten *_SAFER.INF und *_SUPER.INF berücksichtigten Ausnahmen wie %SystemRoot%\Debug\UserMode\) keinen Schreibzugriff haben bieten Softwarebeschränkungsrichtlinien (im Gegensatz zu Virenscannern) Normalbenutzern bzw. Nicht–Administratoren zuverlässigen Schutz sowohl gegen bekannte als auch unbekannte, direkt unter Windows laufende (Schad–) Software (Trojaner, Viren, Würmer, …): überall, wo Normalbenutzer bzw. Nicht–Administratoren und unter ihrem Benutzerkonto gestartete (Schad–) Software Dateien schreiben könnten dürfen sie diese nicht Ausführen.
Softwarebeschränkungsrichtlinien realisieren im Dateisystem einen zur Datenausführungsverhinderung alias DEP im virtuellen Speicher äquivalenten Schutz.

---

Softwarebeschränkungsrichtlinien wirken nicht innerhalb von Anwendungsprogrammen: ein beispielsweise in einem Office–Programm ausgeführtes Makro, ein im Internet–Browser, Mail– oder Instant Messaging–Client, PDF–Betrachter, Flash Player oder Windows Media Player ausgeführtes Skript oder ein in der Java–Laufzeitumgebung ausgeführtes Applet kann dort wie bisher beliebigen Unfug anrichten, bis hin zum Anlegen und (Über–) Schreiben von (Benutzer–) Dateien mit Schadsoftware.
Aber: ein Ausbrechen der Schadsoftware aus den Anwendungsprogrammen ist nicht möglich, die in (Benutzer–) Dateien geschriebene Schadsoftware kann direkt unter Windows nicht ausgeführt werden!

---

Achtung: da die SAFER–Einstellungen und –Regeln von den Skripten *_SAFER.INF und *_SUPER.INF direkt und nur in die Registry eingetragen werden sind sie (genauer: die Zusätzlichen Regeln) in der Management–Konsole unter Lokale Sicherheitsrichtlinien nicht sichtbar (aber dennoch wirksam)!
Letzteres gilt auch für die Home–Editionen von Windows XP/Vista/7/8[.1]/10, in deren Management–Konsole Lokale Sicherheitsrichtlinien fehlt.
Die Management–Konsole verwaltet Lokale Sicherheitsrichtlinien in den Dateien %SystemRoot%\System32\GroupPolicy\Machine\REGISTRY.POL und %SystemRoot%\System32\GroupPolicy\User\REGISTRY.POL, aus denen sie regelmäßig in die Registry übernommen werden und dort direkt vorgenommene Einstellungen ggf. überschreiben.
Das (auf Nachfrage erhältliche) Programm SRP2LGPO.EXE überträgt alle SAFER–Einstellungen und –Regeln aus der Registry in eine der Dateien %SystemRoot%\System32\GroupPolicy\Machine\REGISTRY.POL oder %SystemRoot%\System32\GroupPolicy\User\REGISTRY.POL; damit werden die von den Skripten *_SAFER.INF und *_SUPER.INF erstellten SAFER–Einstellungen und –Regeln in der Management–Konsole sicht– und änderbar.

---

Beim ersten Aufruf der Softwarebeschränkungsrichtlinien in der Management–Konsole werden vordefinierte Standard–Einstellungen und –Regeln in die Datei %SystemRoot%\System32\GroupPolicy\Machine\REGISTRY.POL geschrieben, die die von den Skripten *_SAFER.INF und *_SAFER.INF in die Registry eingetragenen SAFER–Einstellungen und –Regeln teilweise überschreiben.
Das Anlegen der Standard–Einstellungen und –Regeln unterbleibt, wenn das Programm SRP2LGPO.EXE diese Datei erstellt hat, oder die leere REGISTRY.POL vor dem ersten Aufruf unter %SystemRoot%\System32\GroupPolicy\Machine\REGISTRY.POL existiert.

---

---

Im Windows Explorer können Verweise oder Umleitungen auf beliebige lokale oder entfernte Verzeichnisse im Stil der Eigene Dateien eingerichtet werden.
Windows stellt dazu zwei Mechanismen bereit: Ordnerverknüpfungen (Shell Links) und Systemordner (Shell Objects).
Im Gegensatz zu Verknüpfungen (.lnk) zeigt der Windows Explorer bei Shell Links und Shell Objects die Inhalte des Zielobjekts direkt an!
Shell Links werden an beliebiger Stelle im Dateisystem angelegt, Shell Objects dagegen in der Registry mit einem Globally Unique Identifier (GUID) definiert. Referenziert werden Shell Objects über ihren GUID in der Registry, im Dateisystem (siehe Drucker.{…}) oder in Verknüpfungen.
Shell Objects können darüber hinaus ein Kontextmenü haben, ihre Eigenschaften sind die des Zieles.

Beide Mechanismen werden in Windows bereits verwendet:

• der Netzwerkumgebung hinzugefügte Ressourcen werden als Shell Links realisiert;
• in der Systemsteuerung sind Schriftarten und Verwaltung als Shell Objects realisiert, sie zeigen auf die Verzeichnisse %SystemRoot%\FONTS\ bzw. %ALLUSERSPROFILE%\Startmenü\Programme\Verwaltung\.

---

Die Skripte APPDATA.REG, CommonAppData.reg, LocalAppData.reg, HOME.REG und PROFILE.REG definieren die Shell Objects Anwendungsdaten, Lokale Anwendungsdaten, Gemeinsame Anwendungsdaten, HOME–Verzeichnis und Benutzerprofil in der Registry und erzeugen Referenzen auf diese auf dem Desktop sowie dem Arbeitsplatz.
Die neu definierten Shell Objects können im Reiter Ansicht der Ordneroptionen der Systemsteuerung einzeln ein– und ausgeblendet werden.
Die Skripte COMPUTER.REG und DESKTOP.REG rüsten die Optionen zum Ein– und Ausblenden der in Windows vordefinierten Shell Links wie Systemsteuerung und Verwaltung auf dem Desktop und unter Arbeitsplatz nach.
Die Installation erfolgt durch Rechtsklick » Zusammenführen.

---

Die (manuelle) Einrichtung eines Shell Links (hier am Beispiel des HOME–Verzeichnis) geschieht wie folgt:

1. Anlegen einer Verknüpfung mit dem (vorgegebenen) Dateinamen TARGET.LNK (die Dateiendung .lnk wird typischerweise nicht angezeigt) und dem Ziel "%HOMEDRIVE%%HOMEPATH%" sowie einem (optionalen) Kommentar wie Zeigt Dateien und Ordner im eigenen HOME–Verzeichnis an.
2. Anlegen einer Textdatei mit dem (vorgegebenen) Dateinamen DESKTOP.INI und folgendem Inhalt:

   
                       [.ShellClassInfo]
                       CLSID2={0AFACED1-E828-11D1-9187-B532F1E9575D}
                       ConfirmFileOp=0
                       Flags=2
                   

3. Setzen der DOS–Attribute Versteckt und System (sowie optional Schreibgeschützt) auf die im vorherigen Schritt angelegte Datei DESKTOP.INI.
4. Anlegen eines Ordners mit dem (im Gegensatz zu den beiden Dateinamen frei wählbaren) Namen HOME–Verzeichnis.
5. Setzen der DOS–Attribute System und Schreibgeschützt (sowie optional Archiv) auf den im vorherigen Schritt angelegten Ordner HOME–Verzeichnis.
6. Verschieben der in den ersten beiden Schritten angelegten Dateien TARGET.LNK und DESKTOP.INI in den Ordner HOME–Verzeichnis.

Der fertige Shell Link kann umbenannt, verschoben, kopiert oder gelöscht werden. Alle diese Operationen wirken auf den Shell Link selbst, nicht auf sein Ziel!

---

Die Skripte APPDATA.VBS, HOME.VBS und PROFILE.VBS automatisieren diese Schritte.
Sie werden im Windows Explorer per Doppelklick gestartet, in der Eingabeaufforderung mit der Kommandozeile START ‹name›.VBS, WSCRIPT.EXE ‹name›.VBS oder CSCRIPT.EXE ‹name›.VBS aufgerufen.

---

Neben dem als Beispiel verwendeten HOME–Verzeichnis (%HOMEDRIVE%%HOMEPATH%) bieten sich folgende Verzeichnisse und Ziele an:
• Benutzerprofil (%USERPROFILE%)
• Anwendungsdaten (%APPDATA%)
• Lokale Anwendungsdaten (%LocalAppData%)
• Temporäre Dateien (%TEMP%)
• LOGON–Server (%LOGONSERVER%)

---

---

Im Windows Explorer können die Standard–Programme für Internet, Instant Messenger, Mail, USENET–News, Kontakte alias Adreßbuch, Terminkalender und Medienwiedergabe analog zum Internet Explorer als Shell Objects eingerichtet werden.
Die Skripte INTERNET.REG, MESSENGER.REG, MAIL.REG, NEWS.REG, CONTACTS.REG, CALENDAR.REG und MEDIA.REG definieren die o.g. Shell Objects in der Registry und erzeugen Referenzen auf diese auf dem Desktop sowie dem Arbeitsplatz.
Die neu definierten Shell Objects können im Reiter Ansicht der Ordneroptionen der Systemsteuerung einzeln ein– und ausgeblendet werden.
Die Skripte COMPUTER.REG und DESKTOP.REG rüsten die Optionen zum Ein– und Ausblenden der in Windows vordefinierten Shell Objects wie Internet Explorer sowie der Shell Links wie Systemsteuerung und Verwaltung auf dem Desktop und unter Arbeitsplatz nach.
Die Installation erfolgt durch Rechtsklick » Zusammenführen.

---

---

Das Skript 8859-15.INF installiert eine der beiden Dateien C_28605.NLS (unter Windows NT4/2000) bzw. CP_28605.NLS (unter Windows 9x/ME) und nimmt die notwendigen Einträge in der Registry vor, um die zur Darstellung des €–Zeichens notwendige Kodierung ISO 8859-15 alias Lateinisch 9 (ISO) im Internet Explorer und in Outlook Express verwenden zu können.
Außerdem ersetzt das Skript 8859-15.INF die von Microsoft falsch vorgenommene Zuordnung des proprietären Zeichensatzes Windows–1252 zur Kodierung ISO 8859–1 alias Westeuropäisch (ISO) bzw. Lateinisch 1 (ISO) durch den korrekten Zeichensatz ISO-8859-1 und vermeidet damit den Versand falsch kodierter €–Zeichen.

---

Es müssen entweder alle drei Dateien 8859-15.INF, C_28605.NLS und CP_28605.NLS, das diese drei Dateien enthaltende ZIP–Archiv 8859-15.ZIP oder das selbstinstallierende Archiv 8859-15.EXE herunterladen werden. Im letzten Fall erfolgt die Installation durch Ausführen des Programms 8859-15.EXE, sonst (ggf. nach dem Entpacken in ein beliebiges Verzeichnis) durch Ausführen des Skripts 8859-15.INF per Rechtsklick » Installieren. Die heruntergeladenen oder entpackten Dateien können danach gelöscht werden.

---

Die Darstellung des €–Zeichens setzt ein Betriebssystem voraus, das den € unterstützt, Schriftarten, die das €–Zeichen enthalten, sowie die korrekte Angabe der Kodierung ISO 8859–15 in den Kopfzeilen von eMails und News–Artikeln oder HTML–Seiten.
Die ersten beiden Voraussetzungen sind für Windows 95 mit dem €–Update und für Windows NT4 mit dem €–Update bzw. dem Service Pack 4 erfüllt, neuere Versionen von Windows unterstützen den € aus der Box.
Die dritte Voraussetzung ist nach Installation der Dateien 8859-15.INF und C_28605.NLS bzw. CP_28605.NLS, gegeben, wenn in Outlook oder Outlook Express der Zeichensatz Lateinisch 9 (ISO) ausgewählt wird.

---

Weiteres (in Englisch) unter ISO 8859 Alphabet Soup sowie (in Französisch) unter Les Aminautes.

---

---

Das Skript PRESETOE.REG trägt Voreinstellungen für Outlook Express (und den Internet Account Manager) in die Registry ein, mit denen Outlook Express soweit möglich RFC–konform und Usenet– tauglich vorkonfiguriert wird.
Die Installation erfolgt durch Rechtsklick » Zusammenführen.
Die in die Registry eingetragenen Voreinstellungen werden von Outlook Express ab Version 5.0 und nur beim Anlegen einer neuen Identität ausgewertet; dies gilt auch für die primäre, sogenannte Hauptidentität, die implizit beim ersten Start von Outlook Express nach dem Einrichten eines neuen Benutzerprofils angelegt wird.

---

---

Das Skript MIME_GPG.REG trägt die von Pretty Good Privacy und GNU Privacy Guard verwendeten Dateiendungen .asc, .gpg, .pgp und .sig sowie deren MIME–Definitionen in die Registry ein.
Die Installation erfolgt durch Rechtsklick » Zusammenführen.

---

Das Skript MIME_ISO.REG trägt die für ISO 9660–CD– und DVD–Abbilder verwendete Dateiendung .iso sowie deren MIME–Definition in die Registry ein.
Die Installation erfolgt durch Rechtsklick » Zusammenführen.

---

Das Skript MIME_ODF.REG trägt die für OpenDocument–Dateien verwendeten Dateiendungen sowie deren MIME–Definitionen in die Registry ein.
Die Installation erfolgt durch Rechtsklick » Zusammenführen.

---

---

Das Skript QUIKVIEW.REG ergänzt im Windows Explorer das Kontextmenü aller Dateien um den Eintrag Schnellansicht. Es setzt die Installation der gleichnamigen Windows–Komponente voraus.
Die Installation erfolgt durch Rechtsklick » Zusammenführen.

---

---

Das Skript COPYMOVE.REG ergänzt im Windows Explorer von Windows 98/ME/2000 sowie Windows 95/NT4 mit installiertem Active Desktop das Kontextmenü aller Dateien und Ordner um die Einträge In Ordner kopieren… und In Ordner verschieben….
Die Installation erfolgt durch Rechtsklick » Zusammenführen.

---

---

Das Skript EICAR.REG ergänzt das Kontextmenü Neu des Windows Explorer unter dem Eintrag Anwendung für MS–DOS um die Möglichkeit, zum Testen des installierten Virenscanners den genormten EICAR–Testvirus zu erzeugen.
Die Installation erfolgt durch Rechtsklick » Zusammenführen.

---

Der EICAR–Testvirus ist das durch den ASCII–Text
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
dargestellte DOS–Programm EICAR.COM, welches beim ungehinderten Ablauf die Zeichenkette
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!
ausgibt.

---

---

Das Skript REGREORG.BAT reorganisiert die Registry von Windows 95.
Es muß und kann nur im MS–DOS–Modus aufgerufen werden; der Aufruf im MS–DOS–Fenster wird abgefangen!
Warnung: aufgrund eines Fehlers im Registrier–Editor von Windows 95 und Windows 95A kann die Registry unter diesen Windows–Versionen zerstört werden.

---

Das Skript REGREORG.INF reorganisiert (soweit überhaupt möglich) die Registry von Windows NT4.
Es installiert sich mittels Rechtsklick » Installieren selbst und erstellt eine Verknüpfung im Startmenü des installierenden Benutzers, üblicherweise Administrator.
Zur Ausführung benötigt das Skript natürlich Administrator–Rechte; sein Aufruf ohne diese Rechte wird abgefangen!

---

---

Die Skripte EXTRA-95.INF und EXTRA-98.INF tragen einige der von Microsoft vergessenen Systemadministrationsprogramme ins Startmenü (und den Programm–Manager) von Windows 95/98 ein.
Die Installation erfolgt durch Rechtsklick » Installieren.

---

Das Skript EXTRA-NT.INF trägt einige der von Microsoft vergessenen Systemadministrationsprogramme ins Startmenü (und den Programm–Manager) von Windows NT4 ein.
Die Installation erfolgt durch Rechtsklick » Installieren.
Sind die Programme DMACHECK.EXE (zum (De–) Aktivieren des DMA–Modus von EIDE– und ATAPI–Geräten bei Intel–Chipsätzen) und HOTFIX.EXE (zur (De–) Installation von Korrekturen, die Microsoft zwischen den Service Packs freigibt) im Verzeichnis %SystemRoot%\SYSTEM32\ vorhanden, dann werden auch Verknüpfungen für diese erstellt.

---

Das Skript EXTRA-2K.INF trägt einige der von Microsoft vergessenen Systemadministrationsprogramme ins Startmenü (und den Programm–Manager) von Windows 2000 ein.
Die Installation erfolgt durch Rechtsklick » Installieren.
Sind die Programme POLEDIT.EXE (der Systemrichtlinien–Editor) und HOTFIX.EXE (zur (De–) Installation von Korrekturen, die Microsoft zwischen den Service Packs freigibt) im Verzeichnis %SystemRoot%\SYSTEM32\ vorhanden, dann werden auch Verknüpfungen für diese erstellt.

---

---

Das Skript TCPIP-9X.INF trägt die von Microsoft vergessenen TCP/IP–Anwendungen ins Startmenü (und den Programm–Manager) von Windows 9x/ME ein.
Die Installation erfolgt durch Rechtsklick » Installieren.

---

---

Das Skript TOOLS-NT.INF installiert die Windows NT4 Server–Programme (von der Windows NT4 Server CD–ROM) unter Windows NT4 Workstation und trägt Verknüpfungen ins Startmenü (und den Programm–Manager) ein.
Die Installation erfolgt durch Rechtsklick » Installieren.

---

---

Die Skripte PROPERTY.VBS und PROPERTY.JS zeigen die Eigenschaften des installierten Windows Script Hosts an.
Die Skripte werden im Windows Explorer per Doppelklick gestartet, und in der Eingabeaufforderung mit der Kommandozeile START PROPERTY.{JS|VBS}, WSCRIPT.EXE PROPERTY.{JS|VBS} oder CSCRIPT.EXE PROPERTY.{JS|VBS} aufgerufen.

---

---

Das Skript PRINT-TO.VBS ermöglicht das Drucken bereits aufbereiteter Dateien (z.B. PostScript, PCL oder HPGL) per Drag & Drop oder Senden an einen Drucker.
Zur Realisierung dieser Funktion ist das Skript PRINT-TO.VBS für jeden zu unterstützenden Dateityp (z.B. .ps, .pcl oder .plt) folgendermaßen in die Registry einzutragen:

                    REGEDIT4

                    [HKEY_CLASSES_ROOT\.ps]
                    @="psfile"
                    "Content Type"="application/postscript"

                    [HKEY_CLASSES_ROOT\psfile]
                    @="PostScript"

                    [HKEY_CLASSES_ROOT\psfile\shell]

                    [HKEY_CLASSES_ROOT\psfile\shell\printto]

                    [HKEY_CLASSES_ROOT\psfile\shell\printto\command]
                    @="C:\\WINDOWS\\SYSTEM32\\WSCRIPT.EXE \"‹drive›:\\‹path›\\PRINT-TO.VBS\" \"%L\" \"%2\" \"%3\" \"%4\""

                    [HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/postscript]
                    "Extension"=".ps"
                

Das obige Skript zum Eintragen in die Registry gibt’s hier: PRINT-TO.REG.
Vor dem Import in die Registry sind die Pfade zum Windows Script Host (C:\\WINDOWS\\SYSTEM32\\WSCRIPT.EXE) und zum Skript PRINT-TO.VBS (‹drive›:\\‹path›\\PRINT-TO.VBS) an die jeweilige Systemumgebung anzupassen!

---

Das Skript PRINT-TO.INF installiert PRINT-TO.VBS und nimmt die obigen Einträge mit den notwendigen Anpassungen in der Registry vor.
Die beiden Dateien PRINT-TO.INF und PRINT-TO.VBS sind dazu in ein beliebiges Verzeichnis zu speichern, anschließend ist das Skript PRINT-TO.INF per Rechtsklick » Installieren zu starten. Die heruntergeladenen Dateien können danach gelöscht werden.

---

---

Senden an beliebige Drucker wird besonders einfach, wenn im Verzeichnis SendTo\ ein neuer Ordner mit dem Namen Drucker.{2227A280-3AEA-1069-A2DE-08002B30309D} angelegt wird.
Unter Windows 9x/ME liegt das Verzeichnis SendTo\ im Verzeichnis %windir%\, unter Windows NT4 bzw. Windows 2000/XP/2003 im benutzerspezifischen Verzeichnis %USERPROFILE%\ alias %SystemRoot%\Profiles\%UserName%\ bzw. %SystemDrive%\Dokumente und Einstellungen\%UserName%\.
Soll dieser Ordner für neue Benutzer automatisch eingerichtet werden, so ist er vor deren erster Anmeldung unter Windows NT4 im Verzeichnis %SystemRoot%\Profiles\Default User\SendTo\ und unter Windows 2000/XP/2003 im Verzeichnis %SystemDrive%\Dokumente und Einstellungen\Default User\SendTo\ anzulegen.

---

---

Das Batch–Skript WHICH.CMD sucht die ihm übergebenen Dateinamen im Suchpfad für Programme (.;%PATH%) und gibt bei Treffern den vollständigen Pfadnamen des Fundortes aus.
Platzhalterzeichen (* und ?) in den Dateinamen werden ausgewertet, bei fehlender Dateinamenserweiterung werden die in der Umgebungsvariablen %PATHEXT% angegebenen Endungen ausführbarer Dateien berücksichtigt.
Leer– und Sonderzeichen in den Dateinamen können (Dank der Einschränkungen des Kommando–Interpreters von Windows NT4/2000/XP/2003/Vista/2008 [R2]/7/8[.1]/2012 [R2]/10/2016/2019 ;-) zu fehlerhaften Ergebnissen führen!

---

---

Der Bootlader BOOTSECT.ANY startet aus dem Boot–Manager von Windows NT/2000/XP/2003 beliebige Betriebssysteme von Diskette A:.
Zur Installation ist der Bootlader BOOTSECT.ANY in das Wurzelverzeichnis der System–Partition (üblicherweise das Laufwerk C:) von Windows NT/2000/XP/2003 zu kopieren und die (versteckte und schreibgeschützte) Datei BOOT.INI ebenda im Abschnitt [Operating Systems] um folgende Zeile zu ergänzen:

                    C:\BOOTSECT.ANY="Diskette A:"
                

Der in der Datei BOOT.INI angegebene Laufwerksbuchstabe (üblicherweise C:) kann von dem unter Windows NT/2000/XP/2003 für die System–Partition vergebenen Buchstaben abweichen: während der Startphase von Windows NT/2000/XP/2003 werden die Laufwerksbuchstaben wie unter MS–DOS üblich zugeordnet!

---

Das Skript BOOTSECT.INF installiert BOOTSECT.ANY und nimmt die notwendigen Änderungen in der Datei BOOT.INI vor.
Die beiden Dateien BOOTSECT.INF und BOOTSECT.ANY sind dazu in ein beliebiges Verzeichnis zu speichern, anschließend ist das Skript BOOTSECT.INF per Rechtsklick » Installieren zu starten. Die heruntergeladenen Dateien können danach gelöscht werden.

---

Der für NASM geschriebene Quelltext des Bootladers BOOTSECT.ANY ist unter BOOTSECT.ASM verfügbar.

---

---

Das Batch–Skript HARDEN2K.CMD ändert mittels der Programme SECADD.EXE und SUBINACL.EXE aus dem Windows 2000 Resource Kit Berechtigungen in der Registry und dem NTFS–Dateisystem von Windows 2000: die Zugriffsberechtigung der Benutzergruppe Jeder (WORLD\EveryOne) wird von einigen Registry–Schlüsseln entfernt und die Benutzergruppe Jeder (WORLD\EveryOne) in allen Registry–Schlüsseln, Ordnern und Dateien durch Authentifizierte Benutzer (NT AUTHORITY\Authenticated Users) ersetzt.
Das Batch–Skript HARDEN2K.CMD setzt voraus, das die Umgebungsvariable NTResKit den Pfad zu den installierten Programmen SECADD.EXE und SUBINACL.EXE enthält.
Das Programm SUBINACL.EXE wird von Microsoft als Teil der frei verfügbaren Windows 2000 Resource Kit Tools unter https://www.microsoft.com/downloads/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B zum Download angeboten.

---

Das Skript HARDEN2K.INF trägt viele sicherheitsrelevante Einstellungen in die Registry von Windows 2000 ein, u.a. werden die Windows–Netzwerkfunktionen (RPC, DCOM, NetBIOS über TCP/IP und DirectSMB) fast vollständig abgeschaltet, anonyme Zugriffe auf die Benutzerdatenbank, die Registry und die Ereignisprotokolle sowie Manipulationen an System–Objekten unterbunden, die OS/2– und POSIX–Subsysteme deaktiviert, überflüssige optionale Windows–Komponenten deinstalliert sowie Internet Explorer und Outlook Express restriktiv vorkonfiguriert.
Die Einstellungen sind (nicht immer :-) mit einem kurzen Kommentar und wenn möglich mit einem Hinweis auf die sie beschreibenden Artikel der Microsoft Support Knowledge Base versehen.
Das Skript HARDEN2K.INF ist primär für den Einsatz auf unvernetzten, nur mit dem Internet verbundenen Systemen vorgesehen, kann durch Auskommentieren der die Windows–Netzwerkfunktionen abschaltenden Zeilen aber für den Einsatz in einem lokalen Netzwerk angepaßt werden.
Die Installation erfolgt durch Rechtsklick » Installieren.
Achtung: die (meisten der) geänderten Einstellungen werden erst nach einem Neustart wirksam!

---

---

Das Batch–Skript DIALUP2K.CMD richtet mittels des Programms IPSECPOL.EXE aus dem Windows 2000 Resource Kit einen einfachen IP–Paketfilter ein, der auf Einwahlverbindungen jeglichen ankommenden Netzwerkverkehr zu wohlbekannten TCP– und UDP–Ports verwirft.
Siehe auch den Artikel How to block specific network protocols and ports by using IPSec in der Microsoft Support Knowledge Base.
Das Batch–Skript DIALUP2K.CMD setzt voraus, daß die Umgebungsvariable NTResKit den Pfad zum installierten Programm IPSECPOL.EXE enthält.
Das selbstextrahierende, selbstinstallierende Archiv IPSecPol-Setup.exe, das das Programm IPSECPOL.EXE und die von diesem benötigten Dateien installiert, wird von Microsoft als Teil der frei verfügbaren Windows 2000 Resource Kit Tools unter https://www.microsoft.com/downloads/details.aspx?FamilyID=7D40460C-A069-412E-A015-A2AB904B7361 zum Download angeboten.

---

Das Batch–Skript DIALUPXP.CMD richtet mittels des auf der Windows XP/2003 CD–ROM im Archiv \SUPPORT\TOOLS\SUPPORT.CAB enthaltenen Programms IPSECCMD.EXE einen einfachen IP–Paketfilter ein, der auf Einwahlverbindungen jeglichen ankommenden Netzwerkverkehr zu wohlbekannten TCP– und UDP–Ports verwirft.
Das Batch–Skript DIALUPXP.CMD setzt voraus, das das Programm IPSECCMD.EXE in das Verzeichnis %SystemRoot%\System32\ extrahiert wurde.

---

---

Im Internet Explorer wird der Inhalt des lokalen Laufwerks C: angezeigt.

---