---

Hej.

Jeg har fået den ide, at jeg vil give Windows 2000 adgang til
internettet.

Jeg har CD-en og service pack 4.

Man får det indtryk, at Microsoft forestiller sig at man skal
installere, og så bruge Windows update. Hvilket jeg ikke forestiller
mig er en anvendelig løsning.

Alternativet synes så at være at gå på Microsoft download, og vælge
Windows 2000 filer, der indeholder "security" i beskrivelsen.

Dette frembringer en liste med 162 filer sorteret efter "popularitet",
hvor der findes filer af formen

Windows2000-KB835732-x86-ENU.EXE

Det synes ikke som om KB nummeret absolut er fortløbende.

Man kunne så eventuelt sortere søgningen efter dato i stedet for
popularitet, lave nogle overvejelser om hvad der måtte være med i
service pack 4, og vælge et antal filer at hente. Og eventuelt holde
styr på, hvilke opdateringer, der er ældst.

Det må antages at systemfiler erstattes med nye versioner. Et
spørgsmål man kunne stille sig, er hvad der sker hvis forskelige
opdateringer opdaterer den samme systemfil.

Er det nødvendigt at opdateringerne installeres i den rigtige
rækkefølge?

Eller findes der ligefrem en opdatering, der inkluderer eksempelvis
alle sikkerhedsopdateringer siden service pack 4?

Er der noget jeg har overset, eller er dette besværligt?

For mig at se ville den eneste mulige løsning være at en uafhængig
instans påtog sig at bruge tid på det og vedligeholde en præcis
vejledning i at installere Windows 2000 med opdateringer. Findes
dette?
--
Svend Olaf

---

Svend Olaf Mikkelsen wrote:

> Man får det indtryk, at Microsoft forestiller sig at man skal
> installere, og så bruge Windows update. Hvilket jeg ikke forestiller
> mig er en anvendelig løsning.

Hvorfor ikke?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On Mon, 24 May 2004 14:06:04 +0200, Alex Holst <a@mongers.org> wrote:

>Svend Olaf Mikkelsen wrote:
>
>> Man får det indtryk, at Microsoft forestiller sig at man skal
>> installere, og så bruge Windows update. Hvilket jeg ikke forestiller
>> mig er en anvendelig løsning.
>
>Hvorfor ikke?

Hvad er mit grundlag for at udelukke at nogen af de kendte angreb kan
ske så snart maskinen er på nettet?
--
Svend Olaf

---

Svend Olaf Mikkelsen wrote:

> Hvad er mit grundlag for at udelukke at nogen af de kendte angreb kan
> ske så snart maskinen er på nettet?

Windows 2000 har support for IPsec policies der kan benyttes til at
forhindre forbindelser udefra naar ind til evt. services.

Men har du ikke mulighed for at lukke disse services ned inden du
forbinder maskinen til nettet? Black Viper's OS guider kan hjaelpe dig.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Svend Olaf Mikkelsen wrote:
> On Mon, 24 May 2004 14:06:04 +0200, Alex Holst <a@mongers.org> wrote:
>
> > Svend Olaf Mikkelsen wrote:
> >
> > > Man får det indtryk, at Microsoft forestiller sig at man skal
> > > installere, og så bruge Windows update. Hvilket jeg ikke
> > > forestiller mig er en anvendelig løsning.
> >
> > Hvorfor ikke?
>
> Hvad er mit grundlag for at udelukke at nogen af de kendte angreb kan
> ske så snart maskinen er på nettet?

Du kan faktisk få en CD fra MS med alle opdateringer frem til februar måned
i år ganske gratis. Den finder selv ud af hvad du mangler og installerer de
førnødne opdateringer direkte fra cd'en.

Prøv og kontakt dem, da jeg ikke kan huske linket mere, men det er måske
andre som kan?

/ Hans

---

Hans wrote:
> Svend Olaf Mikkelsen wrote:
> > On Mon, 24 May 2004 14:06:04 +0200, Alex Holst <a@mongers.org>
> > wrote:
> >
> > > Svend Olaf Mikkelsen wrote:
> > >
> > > > Man får det indtryk, at Microsoft forestiller sig at man skal
> > > > installere, og så bruge Windows update. Hvilket jeg ikke
> > > > forestiller mig er en anvendelig løsning.
> > >
> > > Hvorfor ikke?
> >
> > Hvad er mit grundlag for at udelukke at nogen af de kendte angreb
> > kan ske så snart maskinen er på nettet?
>
> Du kan faktisk få en CD fra MS med alle opdateringer frem til februar
> måned i år ganske gratis. Den finder selv ud af hvad du mangler og
> installerer de førnødne opdateringer direkte fra cd'en.
>
> Prøv og kontakt dem, da jeg ikke kan huske linket mere, men det er
> måske andre som kan?
>
Den var sørme lige her:
http://www.microsoft.com/security/protect/cd/order.asp

/ Hans

---

On Mon, 24 May 2004 22:30:18 +0200, "Hans" <email@kvik.org.invalid>
wrote:

>> > Hvad er mit grundlag for at udelukke at nogen af de kendte angreb
>> > kan ske så snart maskinen er på nettet?
>>
>> Du kan faktisk få en CD fra MS med alle opdateringer frem til februar
>> måned i år ganske gratis. Den finder selv ud af hvad du mangler og
>> installerer de førnødne opdateringer direkte fra cd'en.
>>
>> Prøv og kontakt dem, da jeg ikke kan huske linket mere, men det er
>> måske andre som kan?
>>
>Den var sørme lige her:
>http://www.microsoft.com/security/protect/cd/order.asp

Tak.

Men efter min mening kan det være en udmærket løsning for folk med
almindeligt modem, hvis CD-en indeholder alle opdateringer, og den
leveres uden beregning med morgenposten næste dag ved bestilling inden
kl. 20.
--
Svend Olaf

---

On Mon, 24 May 2004 08:45:05 +0000, Svend Olaf Mikkelsen wrote:

> Man får det indtryk, at Microsoft forestiller sig at man skal installere,
> og så bruge Windows update. Hvilket jeg ikke forestiller mig er en
> anvendelig løsning.

Hvis maskinen er tilgængelig fra omverdenen (ikke står bag en firewall
eller bag en NAT'ende router), så ville jeg også umiddelbart være utryg
ved nævnte fremgangsmåde. Det er mig uforståeligt, at der ikke findes
et sted, hvor man kan gå hen og hente en til enhver tid kumulativ
sikkerheds-rettelsespakke til Microsoft's mest udbredte softwarepakker
(til lokal distribution - uden at skulle kontakte Windows Update).

Anyways:
Hvis din maskine er offentligt kontaktbar, så kan du stadig godt tage den
på nettet inden installation af rettelelsespakker. Det kræver dog, at du
forinden har fjernet, slukket eller indskrænket visse services. - Men det
bør man under alle omstændigheder gøre.

De bedste dokumenter, jeg har fundet dertil, er:
http://isc.sans.org/presentations/xpsurvivalguide.pdf
http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en

Det vigtigste værktøj er i din forbindelse "netstat"-værktøjet, som
kan bruges som en slags facitliste: Først når ingen services lytter
(andet end evt. på 127.0.0.1), er man klar til at gå på nettet.

Sidst jeg prøvede at opnå en sådan situation på en Windows 2000
maskine, krævede det bl.a., at man rodede lidt i registry'et. Med andre
ord det desværre ikke helt trivielt.

Når man har opnået den ikke-lyttende tilstand, kan man som det førte
gå til Windows Update og hente+installere+reboot'e, indtil maskinen er
fri for fejl, hvortil der findes opdateringer.

Derefter går man til mozilla.org og henter browser og mailprogram.
(Desværre kan man ikke helt fjerne Internet Explorer, men man kan
forsøge at undlade at bruge den, med den stabel bugs, det medfører.)

Endelig indøver man sig en arbejdsform, hvor man ikke arbejder som
Administrator, med mindre det er strengt nødvendigt. I den forbindelse er
"runas"-værktøjet rart at kende.

PS: Hvis éns Windows-installation skal interagere på et LAN, kan der
være services, som man ikke må slukke for. Sådanne services kan man da
genetablere, når Windows Update har sagt god for éns system.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

On Mon, 24 May 2004 15:00:37 +0200, Troels Arvin <troels@arvin.dk>
wrote:

>Hvis maskinen er tilgængelig fra omverdenen (ikke står bag en firewall
>eller bag en NAT'ende router), så ville jeg også umiddelbart være utryg
>ved nævnte fremgangsmåde. Det er mig uforståeligt, at der ikke findes
>et sted, hvor man kan gå hen og hente en til enhver tid kumulativ
>sikkerheds-rettelsespakke til Microsoft's mest udbredte softwarepakker
>(til lokal distribution - uden at skulle kontakte Windows Update).

Tak for den udførlige vejledning.

Løsningen blev at installere Linux på en anden maskine med to netkort,
og derefter "Sharing an Internet Connection Using NAT / IPTABLES" som
beskrevet af "caveman" på

http://www.linuxforum.com/linux_tutorials/5/1.php

Derefter kørte jeg Windows Update på en forbindelse gennem Linux
maskinen.

Hvis alle vigtigte opdateringer (17 i første omgang) blev valgt og
installeret, var der nye efter næste boot. Efter 4-5 boot var der ikke
flere vigtige opdateringer.

Herefter skulle Windows 2000 maskinen så være klar til at blive sat
direkte på nettet.
--
Svend Olaf

---

On Tue, 25 May 2004 19:57:18 +0000, Svend Olaf Mikkelsen wrote:

> Hvis alle vigtigte opdateringer (17 i første omgang) blev valgt og
> installeret, var der nye efter næste boot. Efter 4-5 boot var der ikke
> flere vigtige opdateringer.
>
> Herefter skulle Windows 2000 maskinen så være klar til at blive sat
> direkte på nettet.

Ja, bortset fra, at den sikkert stadig kører alverdens unødvendige
services, som der med god sandsynlighed på et tidspunkt findes flere
bugs i.

Derfor vil jeg fortsat opfordre dig til at foretage en luge-tur,
hvor du lader dig guide'e af netstat (bemærk, at Wind2000's netstat har
en bug; dette er nævnt i det andet af de links, jeg tidligere nævnte).
Det kan endda være, at du sparer lidt systemressourcer ved en sådan
gennemgang.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

On Tue, 25 May 2004 22:57:39 +0200, Troels Arvin <troels@arvin.dk>
wrote:

>Ja, bortset fra, at den sikkert stadig kører alverdens unødvendige
>services, som der med god sandsynlighed på et tidspunkt findes flere
>bugs i.
>
>Derfor vil jeg fortsat opfordre dig til at foretage en luge-tur,
>hvor du lader dig guide'e af netstat (bemærk, at Wind2000's netstat har
>en bug; dette er nævnt i det andet af de links, jeg tidligere nævnte).
>Det kan endda være, at du sparer lidt systemressourcer ved en sådan
>gennemgang.

Tak. Jeg skal dog ikke direkte bruge Windows 2000, mest prøve og
teste. I første omgang prøver jeg at finde ud af hvordan man sætter en
intern firewall op, og markerer et af netkortene som "trusted device",
ligesom man kan gøre det i Linux. På forhånd undskyld, hvis det ikke
giver nogen mening.

Med hensyn til den førnævnte mulighed for at køre Windows update efter
at have lukket services, tror jeg på at det virker, men på den anden
side ville det principielt indebære at man skulle kende naturen af
opdateringerne.
--
Svend Olaf

---

"Svend Olaf Mikkelsen" <svolaf@inet.uni2.dk> skrev i en meddelelse
news:40b2b59d.7597933@dtext.news.tele.dk...
> Hej.
>
> Jeg har fået den ide, at jeg vil give Windows 2000 adgang til
> internettet.
>
> Jeg har CD-en og service pack 4.
>
> Man får det indtryk, at Microsoft forestiller sig at man skal
> installere, og så bruge Windows update. Hvilket jeg ikke forestiller
> mig er en anvendelig løsning.
>
> Alternativet synes så at være at gå på Microsoft download, og vælge
> Windows 2000 filer, der indeholder "security" i beskrivelsen.
>
> Dette frembringer en liste med 162 filer sorteret efter "popularitet",
> hvor der findes filer af formen
>
> Windows2000-KB835732-x86-ENU.EXE
>
> Det synes ikke som om KB nummeret absolut er fortløbende.
>
> Man kunne så eventuelt sortere søgningen efter dato i stedet for
> popularitet, lave nogle overvejelser om hvad der måtte være med i
> service pack 4, og vælge et antal filer at hente. Og eventuelt holde
> styr på, hvilke opdateringer, der er ældst.
>
> Det må antages at systemfiler erstattes med nye versioner. Et
> spørgsmål man kunne stille sig, er hvad der sker hvis forskelige
> opdateringer opdaterer den samme systemfil.
>
> Er det nødvendigt at opdateringerne installeres i den rigtige
> rækkefølge?
>
> Eller findes der ligefrem en opdatering, der inkluderer eksempelvis
> alle sikkerhedsopdateringer siden service pack 4?
>
> Er der noget jeg har overset, eller er dette besværligt?
>
> For mig at se ville den eneste mulige løsning være at en uafhængig
> instans påtog sig at bruge tid på det og vedligeholde en præcis
> vejledning i at installere Windows 2000 med opdateringer. Findes
> dette?
> --
> Svend Olaf

Hej Svend Olaf

Du kan "bundle" downloade opdateringerne ... se

http://v4.windowsupdate.microsoft.com/en/default.asp?corporate=true

Mvh Jens

---

On Tue, 25 May 2004 00:35:42 +0200, "Jens Hastrup"
<jens-hastrup@iwant_NOSPAM_oncable.dk> wrote:

>Hej Svend Olaf
>
>Du kan "bundle" downloade opdateringerne ... se
>
>http://v4.windowsupdate.microsoft.com/en/default.asp?corporate=true
>
>Mvh Jens

Det kunne jeg ikke finde. Hvis der er en form for system i den nævnte
mulighed, kan det måske beskrives?
--
Svend Olaf

---

"Svend Olaf Mikkelsen" <svolaf@inet.uni2.dk> skrev i en meddelelse
news:40b6af23.11200160@dtext.news.tele.dk...
> On Tue, 25 May 2004 00:35:42 +0200, "Jens Hastrup"
> <jens-hastrup@iwant_NOSPAM_oncable.dk> wrote:
>
> >Hej Svend Olaf
> >
> >Du kan "bundle" downloade opdateringerne ... se
> >
> >http://v4.windowsupdate.microsoft.com/en/default.asp?corporate=true
> >
> >Mvh Jens
>
> Det kunne jeg ikke finde. Hvis der er en form for system i den nævnte
> mulighed, kan det måske beskrives?
> --
> Svend Olaf

Hej Svend Olaf,

... ud over at du kan klikke på "Find updates for Microsoft Windows operating
systems" og vælge patches for det operativsystem du ønsker er der så vidt
jeg ved ikke noget decideret system på corporate siderne - hvis du tænker på
hjælp til rækkefølgen af patches mv.

Mvh Jens

---

Hej Ja du skal installere i den rigtige rækkefølge
Men gå dog ind på Microsoft.dk/update og opdater din windows det
er både sikkkert og den rigtige måde at gøre det på, eller er der
kun den løsning at du kontakter Microsoft per tlf og beder dem om
at sende, dem per cd med posten, men det KOSTER

M.V.H
Renè
svolaf@inet.uni2.dk (Svend Olaf Mikkelsen) skrev:
>Hej.
>
>Jeg har fået den ide, at jeg vil
>give Windows 2000 adgang til
>internettet.
>
>Jeg har CD-en og service pack 4.
>
>Man får det indtryk, at Microsoft
>forestiller sig at man skal
>installere, og så bruge Windows
>update. Hvilket jeg ikke forestiller
>mig er en anvendelig løsning.
>
>Alternativet synes så at være at
>gå på Microsoft download, og vælge
>Windows 2000 filer, der indeholder
>"security" i beskrivelsen.
>
>Dette frembringer en liste med 162
>filer sorteret efter
>"popularitet",
>hvor der findes filer af formen
>
>Windows2000-KB835732-x86-ENU.EXE
>
>Det synes ikke som om KB nummeret
>absolut er fortløbende.
>
>Man kunne så eventuelt sortere
>søgningen efter dato i stedet for
>popularitet, lave nogle
>overvejelser om hvad der måtte være med i
>service pack 4, og vælge et antal
>filer at hente. Og eventuelt holde
>styr på, hvilke opdateringer, der er ældst.
>
>Det må antages at systemfiler
>erstattes med nye versioner. Et
>spørgsmål man kunne stille sig, er
>hvad der sker hvis forskelige
>opdateringer opdaterer den samme systemfil.
>
>Er det nødvendigt at
>opdateringerne installeres i den rigtige
>rækkefølge?
>
>Eller findes der ligefrem en
>opdatering, der inkluderer eksempelvis
>alle sikkerhedsopdateringer siden
>service pack 4?
>
>Er der noget jeg har overset,
>eller er dette besværligt?
>
>For mig at se ville den eneste
>mulige løsning være at en uafhængig
>instans påtog sig at bruge tid på
>det og vedligeholde en præcis
>vejledning i at installere Windows
>2000 med opdateringer. Findes
>dette?
>--
>Svend Olaf

---

Svend Olaf Mikkelsen wrote:

> Eller findes der ligefrem en opdatering, der inkluderer eksempelvis
> alle sikkerhedsopdateringer siden service pack 4?

Det tror jeg ikke. Men du kan f.eks. bruge Security Bulletin Search[1],
hvor du i "Product/Technology" vælger din udgave af Windows 2000, i
"Service Pack" vælger Service Pack 4, og sætter flueben i "Show only
bulletins that contain updates that have not been replaced by a more
recent update.".

Tryk "Go" og du vil få en liste over opdateringer frigivet senere end
Service Pack 4.

[1] http://www.microsoft.com/technet/security/CurrentDL.aspx

--
Martin

---

On Thu, 27 May 2004 11:41:42 +0200, Martin Poulsen
<t0gv1t902@sneakemail.com> wrote:

>> Eller findes der ligefrem en opdatering, der inkluderer eksempelvis
>> alle sikkerhedsopdateringer siden service pack 4?
>
>Det tror jeg ikke. Men du kan f.eks. bruge Security Bulletin Search[1],
>hvor du i "Product/Technology" vælger din udgave af Windows 2000, i
>"Service Pack" vælger Service Pack 4, og sætter flueben i "Show only
>bulletins that contain updates that have not been replaced by a more
>recent update.".
>
>Tryk "Go" og du vil få en liste over opdateringer frigivet senere end
>Service Pack 4.
>
>[1] http://www.microsoft.com/technet/security/CurrentDL.aspx

Det lignede noget.

Til en nyinstalleret Windows 2000/service pack 4 (foreløbig uden
internet) kunne jeg på 39 minutter i alt få en liste over 13
opdateringer fra perioden 25/6 03 til 13/4 04, udskrive en liste på
papir, hente alle 13 opdateringer med den ældste først, brænde dem til
CD, og installere dem i Windows 2000 (med den ældste først).

Dette var med "Do not reboot now" efter hver opdatering undtagen den
sidste.

Derefter kørte jeg (stadig over NAT) Windows update. Der var 7 vigtige
opdateringer i første omgang, og nye efter reboot en 3-4 gange, hvoraf
noget var relateret til Internet Explorer.

Min konklusion er dog, at med den internetforbindelse og det hardware
jeg har, kan det ikke lade sig gøre at installere Windows 2000 med
mindre der findes en Linux maskine i huset.
--
Svend Olaf

---

Svend Olaf Mikkelsen wrote:

> Derefter kørte jeg (stadig over NAT) Windows update. Der var 7 vigtige
> opdateringer i første omgang, og nye efter reboot en 3-4 gange, hvoraf
> noget var relateret til Internet Explorer.

Du kan også hente rettelserne til Internet Explorer på føromtalte side.
Vælg det blot som "Product/Technology". Det samme gør sig f.eks.
gældende for Media Player og andre programmer.

> Min konklusion er dog, at med den internetforbindelse og det hardware
> jeg har, kan det ikke lade sig gøre at installere Windows 2000 med
> mindre der findes en Linux maskine i huset.

Hvorfor ikke?

--
Martin

---

On Fri, 28 May 2004 08:47:06 +0200, Martin Poulsen
<t0gv1t902@sneakemail.com> wrote:

>Svend Olaf Mikkelsen wrote:
>
>> Derefter kørte jeg (stadig over NAT) Windows update. Der var 7 vigtige
>> opdateringer i første omgang, og nye efter reboot en 3-4 gange, hvoraf
>> noget var relateret til Internet Explorer.
>
>Du kan også hente rettelserne til Internet Explorer på føromtalte side.
>Vælg det blot som "Product/Technology". Det samme gør sig f.eks.
>gældende for Media Player og andre programmer.
>
>> Min konklusion er dog, at med den internetforbindelse og det hardware
>> jeg har, kan det ikke lade sig gøre at installere Windows 2000 med
>> mindre der findes en Linux maskine i huset.
>
>Hvorfor ikke?

De vigtige ændringer med Windows update omfattede ikke kun Internet
Explorer, men også andre man ikke kan forvente en ny bruger kender
betydningen af.

Desuden, når man har installeret et produkt benævnt Windows 2000
Server og service pack 4, og ikke andet, og vælger opdateringer til
Windows 2000 server med service pack 4, vil jeg forvente at
opdateringerne omfatter alle opdateringer, og at der er
overensstemmelse mellem opdateringer fundet ved søgning og Windows
update.

Dertil er fremgangsmåden med at klikke måske 100 gange med musen og se
måske 50 forskellige sider for at hente en gruppe på 13 filer noget
man skal være mere end almindelig vågen for at kunne gennemføre
korrekt. Med forbehold for at jeg overså en "hent alle opdateringer"
knap.
--
Svend Olaf