Anleitung zur Verringerung von Sicherheitsbedrohungen unter Windows 98

Auch wenn Windows 98 längst nicht mehr von Microsoft unterstützt wird, hat es doch vor allem in der Retro-Szene noch eine sehr große Anhängerschaft. Früher galt es als eine Art "Beeinträchtigung", dass Windows 98 noch einen MS-DOS Unterbau erforderte - heute ist es seine große Stärke.

Der folgende Artikel soll eine Übersicht geben, wie ein Windows 98 im eigenen Netzwerk eingerichtet und abgesichert ("Hardening") werden kann.

In diesem Kapitel wird die Durchführung der folgenden Aufgaben erläutert:

• Installieren von Windows 98 und einer Patchbasis
• Installieren einer Internetfirewall
• Absichern der Startsequenz
• Bereitstellen von Basiskonfigurationen für Microsoft Internet Explorer
• Installieren der Microsoft Active Directory Client Extensions für Verzeichnisdienste
• Auswählen der Windows NT LAN Manager- (NTLM-)Authentifizierungsebene
• Definieren geeigneter Systemrichtlinien

---

Installieren von Windows 98 und einer Patchbasis

Eine grundlegende Bereitstellung von Windows 98 mit aktuellen Sicherheitspatches stellt den besten Ausgangspunkt für die Implementierung einer sicheren Plattformrichtlinie dar.

Empfohlene Updates an dieser Stelle sind:

1. das inoffizielle Windows 98 SE ServicePack 3.x
2. Internert Explorer 6.0 inkl. SP1

 

Alle Windows 98-Arbeitsstationen sollten nur mit den für einen ordnungsgemäßen Netzwerkbetrieb erforderlichen Optionen konfiguriert werden. Wenn z. B. Freigaben für lokale Dateien und Drucker nicht benötigt werden, sollten in der Netzwerkkonfiguration keine Datei- und Druckerfreigabeoptionen festgelegt werden.

Microsoft Internet Explorer 6 Service Pack 1 (SP1) umfasst die aktuellsten Verbesserungen und Problembehebungen für sicheres Browsen im Windows 98 Umfeld.

Installieren einer Internetfirewall

Bei einer Firewall handelt es sich um eine Sicherheitslösung, die verschiedene Netzwerkbereiche voneinander trennt, wodurch ausschließlich autorisierter Netzwerkverkehr anhand von Filterregeln zugelassen wird. Es gibt hardware- und softwarebasierte Firewalls. Eine Internetfirewall befindet sich zwischen einem lokalen Computernetzwerk und dem Internet und verhindert böswillige Angriffe durch Unterbindung des Zugriffs auf eingehenden Netzwerkverkehr, der nicht ausdrücklich zugelassen wird.

In einer Netzwerkumgebung sollte das Netzwerk selbst zum Schutz vor externen Bedrohungen eine Hardwarefirewall oder ein ähnliches Produkt aufweisen, etwa dem Router (z.B. FritzBox) bei aktuellen DSL-Anschlüssen. In den Zeiten um das Jahr 2000 als Windows 98 noch ein Mainstream Betriebssystem war, hingen viele Anwender mit einem (ISDN-)Modem ohne Firewall direkt am Internet, so dass die offenen Ports von Windows (typischerweise Port 139 für NetBIOS) und damit die Dateifreigaben direkt von außen zugänglich waren. Daher ging man bald den Weg, einzelne Arbeitsstationen durch Installation einer Softwarefirewall (z.B. Kerio Firewall) zu schützen.

Absichern der Startsequenz

Eine potenzielle Sicherheitslücke in Windows 98 stellt die Startsequenz dar, die unterbrochen werden kann, um vor der Richtlinienaktivierung Zugriff auf das System zu erhalten. Um eine derartige Gefährdung des Systems auszuschließen, muss der Startprozess durch Bearbeiten der Systemdatei Msdos.sys im Editor oder einem anderen Texteditor gesichert werden (spezifische Anleitungen weiter unten in diesem Kapitel). Systemadministratoren sollten bedenken, dass durch diese Einstellung der Computer nicht mehr im abgesicherten Modus gestartet werden kann. Dies ist wünschenswert, um böswillige Benutzer daran zu hindern, die Sicherheitsmaßnahmen zu umgehen. Allerdings gestaltet sich hierdurch auch die Systemfehlerbehebung schwieriger. Um im Rahmen der Systemverwaltung alternative Startsequenzen nutzen zu können, muss diese Einstellung zurückgesetzt werden.

Da der Startprozess durch das Starten mittels Wechselmedien unterbrochen werden kann, sollte die BIOS-Konfiguration der Computer auf ausschließliches Starten von der primären Festplatte aus eingestellt werden. Bei den meisten Computern ist es möglich, die BIOS-Einstellungen während des Systemstarts mit einer bestimmten Taste aufzurufen. Nach Einstellung des sicheren Systemstarts im BIOS können Sie die Sicherheit durch Festlegen eines Verwaltungskennworts noch weiter erhöhen.

Um einen Windows 98-Computer vor Unterbrechungen des Betriebssystemstarts zu sichern, ist die Systemdatei Msdos.sys zu bearbeiten und das Computer-BIOS so zu konfigurieren, dass der Zugriff auf Wechselmedien als Startgeräte unterbunden wird.

Sichern des Startprozesses
Um zu verhindern, dass die Startsequenz vor dem Wirksamwerden der Sicherheitsrichtlinien unterbrochen werden kann, sollten Sie die Systemdatei Msdos.sys dahingehend bearbeiten, dass ein Ändern des Systemstartverhaltens und ein Umgehen von Richtlinien nicht mehr möglich ist.

Da es sich bei Msdos.sys um eine versteckte und schreibgeschützte Datei handelt, entfernen Sie diese Attribute, bis die Datei fertig bearbeitet ist.

So ändern Sie Msdos.sys im Editor

1. Klicken Sie auf Start, zeigen Sie auf Suchen, und klicken Sie danach auf Dateien/Ordner.
2. Geben Sie msdos.sys im Feld Name ein.
3. Klicken Sie im Feld Suchen in auf das Startlaufwerk (i.d.R. Laufwerk C).
4. Klicken Sie auf die Schaltfläche Jetzt suchen.
5. Klicken Sie mit der rechten Maustaste auf die Datei Msdos.sys, und wählen Sie Eigenschaften aus.
6. Deaktivieren Sie die Kontrollkästchen Schreibgeschützt und Versteckt, um diese Attribute aus der Datei zu entfernen, und klicken Sie danach auf OK.
7. Klicken Sie mit der rechten Maustaste auf die Datei Msdos.sys, und wählen Sie Öffnen mit aus.
8. Klicken Sie im Feld Wählen Sie das gewünschte Programm auf Editor und danach auf OK.
9. Fügen Sie die folgenden zwei Zeilen zum Abschnitt [Options] hinzu:

• BootKeys=0
• BootSafe=0

Mit dem Booleschen Wert BootKeys wird festgelegt, ob die Funktionstasten der Tastatur während des Systemstarts verwendet werden können. Da einige dieser Tasten zur Unterbrechung des Startvorgangs verwendet werden können, sind sie in einem sicheren System durch Zuweisen des Werts 0 deaktiviert.

1. BootSafe ist eine weitere Boolesche Einstellung, mit der Systemstarts im abgesicherten Modus möglich sind. Durch Einstellen des Werts 0 für BootSafe kann der Computer nicht im abgesicherten Modus gestartet werden.
2. Speichern Sie die Datei, und beenden Sie den Editor.
3. Klicken Sie mit der rechten Maustaste auf die Datei Msdos.sys, und wählen Sie Eigenschaften aus.
4. Aktivieren Sie die Kontrollkästchen Schreibgeschützt und Versteckt, um diese Attribute für die Datei festzulegen, und klicken Sie danach auf OK. Schließen Sie das Dialogfeld Suchen.
5. Starten Sie den Computer neu, damit die Änderungen wirksam werden.

 

Verweigern des Zugriffs auf Wechselmedien als Startgeräte
Durch Starten eines Computers mit Wechselmedien können die Systemsicherheitseinstellungen vollständig umgangen und neu konfiguriert werden. Anleitungen zum Zugriff auf das System-BIOS finden Sie in der Dokumentation zu Ihrem Computer.

So deaktivieren Sie die Möglichkeit des Startens von Wechselmedien

1. Legen Sie die primäre Festplatte als erstes Startgerät fest.
2. Deaktivieren Sie die Funktion zum Starten von Diskette und CD-ROM.
3. Deaktivieren Sie ggf. die USB- und FireWire-Ports, wenn diese in Ihrer Geschäftsumgebung nicht unbedingt erforderlich sind.
4. Legen Sie ein BIOS-Kennwort (sofern verfügbar) fest, um ein Rücksetzen der entsprechenden Sicherheitseinstellungen zu verhindern.

 

Installieren von Active Directory Client Extensions (DSClient)

Windows 98-Clients verfügen nicht über die volle Bandbreite der in neueren Betriebssystemen enthaltenen Funktionen, die zur Nutzung von Active Directory-Diensten dienen. Microsoft hat das Active Directory Client Extension-Add-On (DSClient) für den Zugriff von Windows 98 auf Active Directory-Netzwerke veröffentlicht. Die folgenden Active Directory-Funktionen stehen unter Windows 98-Clients durch Verwendung von DSClient zur Verfügung:

• Erkennung von Active Directory-Standorten. Dank dieser Funktion kann sich ein Client bei dem im Netzwerk nächsten Domänencontroller anstatt beim PDC (primären Domänencontroller) oder einem anderen Computer, der die Rolle eines PDC emuliert, anmelden. Außerdem kann der Client Kennwörter für einen beliebigen Domänencontroller zurücksetzen. In Domänen von Windows NT, Version 4.0, werden sämtliche Kennwortänderungen vom PDC vorgenommen, während in Active Directory jeder Domänencontroller solche Anforderungen bearbeiten kann. Durch DSClient wird diese Funktionalität auf Windows 98-Clients ausgeweitet. Mit diesen Verbesserungen können der Netzwerkverkehr und die Auslastung auf dem PDC reduziert werden.
• Authentifizierung durch NTLM, Version 2 (NTLMv2). Die NTLMv2-Authentifizierung stellt eine sehr viel sicherere Authentifizierung als die in Windows 98 enthaltene LAN Manager- (LM-)Authentifizierung dar. Sie bietet allerdings nicht die gleiche Sicherheit wie die Kerberos-Authentifizierung.
• Active Directory Services Interface (ADSI). ADSI bietet eine gemeinsame Anwendungsprogrammierschnittstelle (API) und stellt eine Skriptschnittstelle für Active Directory bereit.
• Verteiltes Dateisystem (Distributed File System, DFS) – Fehlertoleranz. DSClient gewährt Zugriff auf DFS-Failover-Freigaben in Windows 2000 und Microsoft Windows Server 2003 entsprechend der Festlegung in Active Directory.
• Eigenschaften des Windows-Adressbuchs (WAB) in Active Directory. DSClient erweitert die Windows 98-Umgebung so, dass Active Directory-Schemaelemente im Befehl Suchen des Menüs Start angezeigt werden. Außerdem können Benutzer mit entsprechender Berechtigung Eigenschaften von Benutzerobjekten in Active Directory bearbeiten

Die folgenden Active Directory-Funktionen werden nicht durch die Active Directory Client Extensions verfügbar gemacht:

• Kerberos-Unterstützung. Vollständige Kerberos-Unterstützung ist ausschließlich unter Windows 2000 und späteren Clients verfügbar.
• Unterstützung von Gruppenrichtlinien. Die Nutzung von Gruppenrichtlinien und der IntelliMirror-Objektverwaltung steht für Clients mit früheren Versionen des Betriebssystems nicht zur Verfügung.
• Unterstützung von Internet Protocol Security (IPSec) und L2TP. Diese erweiterten Sicherheitsprotokolle für Netzwerke sind nicht verfügbar.
• SPN-Authentifizierung (Service Principle Name, Dienstprinzipalnamen) oder gegenseitige Authentifizierung. Diese Funktionen werden von DSClient nicht aktiviert.

Es ist wichtig, die aktuellste DSClient-Version zu besorgen (hier unter Downloads).
Vergewissern Sie sich vor der Installation von DSClient, dass auf allen Arbeitsstationen Internet Explorer 6 mit SP1 oder höher ausgeführt wird.

 

Auswählen der NTLM-Authentifizierungsebene

Unter Windows 98 wird standardmäßig die ältere und weniger sichere LM-Authentifizierungsverschlüsselung verwendet. Es kam zu Sicherheitslücken und Angriffen gegen diese Verschlüsselung, so dass Microsoft die Authentifizierungssicherheitsprotokolle zur Verminderung dieser Risiken verstärkt hat. Nachdem das DSClient-Add-On (siehe vorheriger Punkt) konfiguriert wurde, kann es zur Verwendung der sichereren NTLMv2-Authentifizierungsmethode eingestellt werden.

Bei installiertem DSClient unterstützt Windows 98 zwei Ebenen der NTLM- und NTLMv2-Authentifizierung, die durch den weiter unten in diesem Kapitel beschriebenen Registrierungseintrag LMCompatibility gesteuert werden. Verwendbare Werte sind:

• 0 (LM- und NTLM-Antworten senden). Bietet ein Höchstmaß an Interoperabilität. Clients können LM oder eine beliebige NTLM-Version für die Authentifizierung verwenden.
• 3 (Nur NTLMv2-Antworten senden). Dieser Wert ist zwingend notwendig, wenn eine Verbindung zu aktuelleren Windows Versionen (z.B. Windows 7) erfolgen soll!

Durch die standardmäßige Installation der NTLMv2-Verschlüsselung wird eine Schlüssellänge von 56 Bit auf Systemen mit der 56-Bit-Version von Internet Explorer bereitgestellt. Systeme mit einer nach 1999 installierten Version von Internet Explorer verfügen wahrscheinlich über die 128-Bit-Version, während ältere Clients wie im vorigen Kapitel beschrieben auf die 128-Bit-Verschlüsselung aktualisiert werden können. Falls die 128-Bit-Version von Internet Explorer vor DSClient installiert wird, wird die 128-Bit-Authentifizierung von NTLMv2 aktiviert.

Aktivieren Sie nach der Installation der Active Directory Client Extensions die NTLMv2-Authentifizierung.

So legen Sie die NTLMv2-Authentifizierungsebene fest:

1. Starten Sie den Registrierungs-Editor durch Eingabe von Regedit.exe an einer Eingabeaufforderung und Drücken der ENTER Taste.
2. Klicken Sie in der Registrierung auf den folgenden Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\.
3. Erstellen Sie einen neuen Teilschlüssel für Control mit der Bezeichnung LSA.
4. Erstellen Sie einen DWORD-Wert mit der Bezeichnung LMCompatibility, und setzen Sie ihn auf 3
5. Starten Sie den Computer neu.
   Hinweis: Setzen Sie den Wert für LMCompatibility erst auf 3, nachdem Sie die Windows NT-Server zur Verwendung von NTLMv2 aktualisiert haben. Sollten sich in der Umgebung Computer befinden, die nicht zur Verwendung von NTLMv2 konfiguriert wurden, schlägt die Kommunikation fehl.

 

Definieren geeigneter Systemrichtlinien

Mit Systemrichtlinien können Sicherheitsrichtlinien zentral angewendet werden, mit denen Standardeinstellungen in der Registrierung lokaler Computer überschrieben werden. Netzwerkadministratoren können Schwachstellenbereiche auf Windows 98-Computern identifizieren und viele Einstellungen zur Gewährleistung eines Höchstmaßes an Sicherheit konfigurieren.

Windows 98-Clients wenden Richtlinien in der Datei Config.pol an, die sich auf der NETLOGON-Freigabe des PDC befindet (da Windows 98-Computer die Gruppenmitgliedschaft eines Domänenbenutzers nur vom PDC auflisten können, nicht jedoch von Reservedomänencontrollern).

Der Großteil der Windows 98-Richtlinien ist darauf ausgerichtet, die Fähigkeit von Benutzern zur Änderung der Desktopumgebung einzuschränken.
Beachten Sie, dass ein Fehler schnell dazu führen kann, dass ein Computer zu stark gesichert wird und für die Verwendung oder Verwaltung des Computers erforderliche Funktionalitäten gesperrt werden könnten. Die Verwendung eines Computers, der keine primäre Arbeitsstation ist und neu konfiguriert werden kann, ist daher eine bewährte Vorgehensweise. Es empfiehlt sich außerdem, gruppen- oder benutzerspezifische Richtlinien für Administratoren festzulegen, mit denen einige der Einschränkungen gelockert werden, so dass Administratoren problemlos auf die Registrierungsbearbeitungs- und Problembehandlungstools zugreifen können.

Der Systemrichtlinien-Editor ist ein leistungsstarkes Tool, mit dem der Zugriff auf einen Windows 98-Computer präzise beschränkt werden kann. Mit diesem Tool werden Benutzer daran gehindert, Sicherheitseinstellungen zu ändern, können aber trotzdem ihre Arbeit normal verrichten. Es empfiehlt sich, Systemrichtlinien zu erstellen, mit denen Arbeitsstationen besser vor Manipulationen geschützt und angepasste Sicherheitseinstellungen leichter umgesetzt werden können.

Installieren des Systemrichtlinien-Editors
Sie müssen den Systemrichtlinien-Editor auf derjenigen Plattform installieren, für die Sie auch die Richtlinien erstellen wollen. Wenn Sie also Richtlinien für Windows 98-Systeme erstellen möchten, muss die Richtliniendatei auf einer Windows 98-Arbeitsstation bearbeitet und gespeichert werden.

So installieren Sie das Systemrichtlinien-Editor-Dienstprogramm von der Windows 98-CD-ROM aus:

1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2. Klicken Sie auf Software.
3. Klicken Sie auf die Registerkarte Windows Setup und danach auf Diskette.
4. Legen Sie den Windows 98-Datenträger in das CD-ROM-Laufwerk ein.
5. Gehen Sie im Dialogfeld Installation von Diskette zum Ordner \Tools\Reskit\Netadmin\Poledit auf der CD, wählen Sie die Datei Poledit.inf aus, und klicken Sie auf OK.
6. Wählen Sie im Dialogfeld Diskette die Systemrichtlinien-Editor-Komponente aus, und klicken Sie auf Installieren.
   Während der Installation werden Poledit.exe in den Windows-Ordner und Windows.adm, Common.adm und Poledit.inf in den Ordner \Windows\Inf kopiert. Außerdem werden die notwendigen Änderungen an der Registrierung vorgenommen und ein neues Startmenüelement im Ordner Programme\Zubehör\Systemprogramme hinzugefügt.

Warnung: Vor der Bearbeitung der Registrierung sollten Sicherungskopien der Registrierungsdateien (System.dat und User.dat), bei denen es sich um versteckte Dateien im Windows-Systemordner handelt, angefertigt werden.

Empfohlene Richtlinieneinstellungen
Nachdem Sie den Systemrichtlinien-Editor installiert haben, können Sie mit ihm eine Richtlinie für lokale Installationen und Verteilungen erstellen. Bei der Bearbeitung von Richtlinieneinstellungen können die Kontrollkästchen für jede Richtlinie einen von drei Zuständen aufweisen: aktiviert, deaktiviert oder ausgeblendet. Bei aktiviertem Kontrollkästchen wird die Richtlinie wie angegeben angewendet. Bei ausgeblendetem Kontrollkästchen wird die Richtlinieneinstellung ignoriert. Bei deaktiviertem Kontrollkästchen könnten die Registrierungseinstellungen für diese Richtlinie unbeabsichtigt gelöscht werden.

So richten Sie eine Richtlinie anhand empfohlener Einstellungen auf Computerebene ein:

1. Doppelklicken Sie auf C:\Windows\poledit.exe.
2. Klicken Sie auf Datei und danach auf Neue Richtlinie.
3. Doppelklicken Sie auf das Symbol Standard-Computer. Daraufhin wird das Dialogfeldmit den Eigenschaften des Standard-Computers angezeigt.
4. Erweitern Sie den Knoten Windows 98-Netzwerk. Die folgenden Einstellungen werden für die Netzwerkeigenschaften empfohlen.

Aktivieren Sie unter Anmeldung die folgenden Kontrollkästchen:

• Anmeldenachricht. Zeigt beim Systemstart einen Banner mit Unternehmensrichtlinien zur Computerverwendung an.
• Netzwerkbestätigung für Windows-Zugriff fordern. Benutzer müssen sich über das Netzwerk anstatt auf ihren lokalen Computern authentifizieren.
• Letzten Benutzernamen nicht anzeigen. Benutzer müssen einen gültigen Benutzernamen eingeben, der zuvor verwendete Wert wird nicht angezeigt.
• Anmeldefortschritt nicht anzeigen. Blendet den Fortschritt der Anmeldesitzung aus.

Aktivieren Sie unter Kennwort die folgenden Kontrollkästchen:

• Freigabekennwörter verschlüsseln ("*"-Anzeige). Gibt Kennwörter während der Eingabe durch Sternchen wieder.
• Kennwortverschlüsselung deaktivieren. Zwingt den Client zur Authentifizierung auf einem sichereren Netzwerkcontroller, anstatt das Kennwort lokal in einem weniger sicheren Cachespeicher abzulegen.
• Alphanumerisches Windows-Anmeldekennwort fordern. Erzwingt einen höheren Komplexitätsgrad für lokale Kennwörter.
• Minimale Länge für Windows-Kennwort. Dient zur Angabe der für ein Kennwort erforderlichen Anzahl an Zeichen. Durch den Wert 8 ist eine relativ sichere Kennwortlänge gegeben.

Aktivieren Sie unter Microsoft-Client für Windows-Netzwerke die folgenden Kontrollkästchen:

• Windows NT-Anmeldung. Mit dieser Option kann der Administrator die Domäne, bei der sich die Arbeitsstation anmelden darf, hartcodieren.
• Verschlüsselung des Domänenkennworts deaktivieren. Minimiert die Gefährdung lokal gespeicherter Kennwörter.
• Arbeitsgruppe. Ermöglicht Administratoren die Hartcodierung der Domäne, bei der sich die Arbeitsstation anmeldet. Diese Einstellung ist für die Domänenanmeldung erforderlich.
• Deaktivieren Sie das KontrollkästchenAlternative Arbeitsgruppe, damit sich Benutzer nicht bei den angegebenen Arbeitsgruppen anmelden können.
  Deaktivieren Sie unter Datei- und Druckerfreigabe für Microsoft-Netzwerke sämtliche Kontrollkästchen. Auf lokalen Arbeitsstationen sollten Datei- und Druckerfreigaben generell deaktiviert sein. Wenn Benutzer in der Lage sein sollen, Dateien und Drucker freizugeben, müssen dedizierte Server verwendet und ordnungsgemäß gesichert werden.
  Aktivieren Sie unter DFÜ-Netzwerk das Kontrollkästchen DFÜ-Zugriff deaktivieren, um den Remotezugriff auf Computer zu verhindern.

5. Klicken Sie auf OK.

So richten Sie eine Richtlinie anhand empfohlener Einstellungen auf Benutzerebene ein:

Für diesen Vorgang ist es erforderlich, dass Sie den vorherigen Vorgang abschließen und der Systemrichtlinien-Editor bereits geöffnet ist. Windows 98 unterstützt nur das Herunterladen einer einzelnen Richtlinie vom Domänencontroller, so dass Einstellungen auf Benutzer- und auf Computerebene kombiniert werden müssen.

1. Doppelklicken Sie auf Standardbenutzer.
2. Doppelklicken Sie im Dialogfeld mit den Standardbenutzereigenschaften auf Windows 98-System.
3. Doppelklicken Sie auf Systemsteuerung.
4. Erweitern Sie Netzwerk, und klicken Sie auf Zugriff auf Systemsteuerungsoption "Netzwerk" beschränken.
5. Erweitern Sie System, und klicken Sie auf Zugriff auf Systemsteuerungsoption "System" beschränken.
6. Erweitern Sie Zugriffsbeschränkungen, und klicken Sie auf Programme zum Bearbeiten der Registrierung deaktivieren.
7. Klicken Sie auf OK.
8. Speichern Sie die Richtlinie an einem geeigneten Speicherort.

Bereitstellen von Richtlinien
Wenn Sie die Richtlinien für Ihre Organisation konfiguriert haben, führen Sie folgende Schritte aus, um der Richtliniendatei den Namen Config.pol zu geben und sie am geeigneten Netzwerkspeicherort zu speichern, so dass Client-Arbeitsstationen die Einstellungen automatisch herunterladen und anwenden können.

So stellen Sie Richtlinien bereit:

1. Wählen Sie im Menü Datei die Option Speichern unter aus.
2. Geben Sie der Datei den Namen Config.pol, und speichern Sie sie an einem der folgenden Speicherorte:

• Speichern Sie die Datei für Windows NT 4.0-Domänencontroller unter %systemroot%\WINNT\System32\Repl\Import\Scripts\Config.pol.
• Speichern Sie die Datei für Windows 2000- und Windows Server 2003-Domänencontroller unter %systemroot%\sysvol\sysvol\domainName\scripts\Config.pol.

So aktivieren Sie automatische Richtliniendownloads für den Windows 98-Client

1. Melden Sie sich bei dem Computer an, auf dem Windows 98 ausgeführt wird.
2. Öffnen Sie die Systemsteuerung.
3. Doppelklicken Sie auf Netzwerk.
4. Vergewissern Sie sich, dass in der Dropdown-Liste Primäre Netzwerkanmeldung die Option Client für Microsoft-Netzwerke ausgewählt ist.
5. Klicken Sie auf die Registerkarte Identifikation, vergewissern Sie sich, dass der Wert im Feld Arbeitsgruppe mit dem Namen der Domäne übereinstimmt, und klicken Sie auf OK.