Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Windows XP Service Pack 2 Technischer Überblick für Administratoren an Praxisbeispielen Michael Kalbe Technologieberater - Security Microsoft Deutschland.

Ähnliche Präsentationen


Präsentation zum Thema: "Windows XP Service Pack 2 Technischer Überblick für Administratoren an Praxisbeispielen Michael Kalbe Technologieberater - Security Microsoft Deutschland."—  Präsentation transkript:

1 Windows XP Service Pack 2 Technischer Überblick für Administratoren an Praxisbeispielen Michael Kalbe Technologieberater - Security Microsoft Deutschland GmbH

2 Agenda Grundlegende Überlegungen Anpassung der Installation Probleme und Lösungen Weiterführende Informationen

3 Das Security Problem Software Security Pendel Einfache Benutzung “Automagic” Alle Features sind ON by default Große Angriffsfläche Out Of The Box Experience FeaturesAttacks Usability&FeaturesSecurity&Privacy Marketing Mode

4 Das Security Problem Software Security Pendel Geringe “connectivity” Viele Sicherheitsdialoge Minimierte Angriffsfläche Oft schwerer zu benutzen Nur schwer zu vermarkten Usability&FeaturesSecurity&Privacy Paranoid Mode

5 Das Security Problem Software Security Pendel Kleinere Angriffsfläche Weniger Sicherheits- Dialoge, aber Transparente Einstellung Alles konfigurierbar Sicher handhabbar! Security & Privacy als Feature für den Anwender Usability&FeaturesSecurity&Privacy Optimum

6 Was ist Windows XP SP2? Ein Meilenstein in der Weiter-entwicklung der Microsoft Sicherheits-technologien Eines der ersten Ergebnisse der „Trustwothy Computing“ Initiative  Sorgfältige Planung und Tests sind unbedingt erforderlich!

7 Änderungen in Windows XP SP2 Netzwerk Schützt das System vor Angriffen aus dem Netzwerk Mail Ermöglicht sicherere s und Instant Messaging Web Mehr Sicherheit für das Browsen im Internet und gängige Internetaufgaben Speicher Schützt das Betriebssystem auf Systemebene

8 Neue Sicherheitsmerkmale im Service Pack 2 Neue Sicherheitsmerkmale im Service Pack 2 Security Center Windows Firewall Pop-up-BlockerAdd-on-Verwaltung demo demo

9 Vor der Installation… 1.Datensicherung durchführen 2.Computer auf Malware überprüfen 3.Hardware- und Software-Hersteller wegen Updates kontaktieren: Neue BIOS-Versionen(!) Treiber-Updates Neue 3rd-Party-SW-Versionen (Personal Firewall, Virenschutz) 4.Lesen und planen! 4.Lesen und planen!

10 SP2 in Unternehmensnetzen “Deploying Windows XP Service Pack 2 in Enterprise Environments” Windows XP Service Pack 2 Enterprise Implementation Guide Windows XP Service Pack 2 Enterprise Planning Guide Windows XP Service Pack 2 Enterprise Planning Template prodtechnol/winxppro/deploy/ sp2endld.mspx prodtechnol/winxppro/deploy/ sp2endld.mspx

11 SP2 in Unternehmensnetzen Detaillierte Hinweise zur Verteilung von SP2 mit SUS oder SMS InventarisierungScripting Infos über die Konfiguration von SP2 mit Gruppenrichtlinien Vorschläge und Vorlagen für einen Testprozess

12 Application Compatibility Guide Dokumentation und Scripte Inhalt: Einführung – neue Merkmale Application Compatibility Testing Mitigation Application Compatibility Issues Deploying Mitigation Fixes ?LinkId=33953&clcid=0x409 ?LinkId=33953&clcid=0x409

13 Changes to Functionality… Die „Bibel“ für Windows XP SP2 ?LinkId=28022http://go.microsoft.com/fwlink/ ?LinkId=28022 (englische Version) ?LinkId= chnet/datenbank/articles/ mspxhttp://www.microsoft.com/germany/te chnet/datenbank/articles/ mspx (deutsche Version – aber etwas älter) chnet/datenbank/articles/ mspx

14 Agenda Grundlegende Überlegungen Anpassung der Installation Probleme und Lösungen Weiterführende Informationen

15 Anpassung der Installation

16 Neue Deployment-Tools für SP2 Setupmgr, Sysprep, etc. Informationen über die NETFW.INF CD_Drive\support\tools\deploy.cab details.aspx?displaylang=de&FamilyID=3E9 0DC91-AC B-BEDA3080E0F6 details.aspx?displaylang=de&FamilyID=3E9 0DC91-AC B-BEDA3080E0F6 aspx?scid=kb;[LN]; aspx?scid=kb;[LN];838080

17 Anpassung der Installation Anpassung der Windows Firewall mit NETFW.INF Mögliche Gründe für die Notwendigkeit der Anpassung: Deaktivierung der Windows Firewall weil eine 3rd-Party-Firewall im Einsatz ist Installierte Anwendungen, die nicht angeforderten eingehenden Datenverkehr benötigen können der Ausnahmeliste hinzugefügt werden Ausnahmen für geöffnete Ports (sollte auf ein Minimum reduziert werden)

18 Anpassung der Installation Anpassung der Windows Firewall mit NETFW.INF Cd_Drive:\I386\Netfw.in_%WINDIR%\Inf\Netfw.inf

19 Methode 1 – Pre-Installation Modifikation der NETFW.IN_ Installation mit modifizierter NETFW.IN_ Methode 2 – Post-Installation Modifikation der NETFW.INF Austausch der NETFW.INF auf den betroffenen Systemen NETSH FIREWALL RESET

20 Agenda Grundlegende Überlegungen Anpassung der Installation Probleme und Lösungen Weiterführende Informationen

21 Wichtiger Hinweis!!! Die nachfolgend angegebenen Problemlösungen sind zum Teil mit kritischen Eingriffen in das Betriebssystem verbunden! In jedem Fall müssen vor der Durchführung die üblichen Sicherheitsmaßnahmen (z.B. vollständige Datensicherung) durchgeführt werden!

22 Deinstallation von SP2 …wenn alles schief gegangen ist… aspx?kbid= aspx?kbid= Beschreibt die Deinstallation von SP2 Per „Software“ in der Systemsteuerung Verwendung des verborgenen Ordners "$NtServicePackUninstall$" Durchführung einer Systemwieder-herstellung Verwendung der Wiederherstellungs-konsole

23 Data Execution Prevention DEP DEP ist eine Kombination von HW- und SW-Technologien, die zusätzliche Prüfungen im Arbeits-speicher vornehmen, um die Ausführung von schädlichem Code zu verhindern In Service Pack 2 ist DEP auf Basis von HW und SW implementiert

24 Data Execution Prevention Hardware-enforced DEP Markiert den gesamten Speicher als nicht ausführbar Ausführbarer Code muss explizit gekennzeichnet werden (Page Table Entry – PTE) Nutzt Fähigkeiten der CPU: No-execute page-protection (NX) (AMD) Execute Disable bit feature (Intel) CPUs müssen im Physical Address Extension (PAE) Mode sein

25 Data Execution Prevention Software-enforced DEP Schützt per Default nur Windows-Programme und Dienste Kann Probleme bei Erweiterung auf alle Programme geben Programme, die Windows Funktionalität erweitern Abhilfe: „DisableNX“ mit MS ACT setzen

26 Microsoft Application Compatibility Toolkit (ACT) 3.0 Compatibility Toolkit (ACT) 3.0 Anlegen eines Application Fixes demo demo

27 Data Execution Prevention DEP Policy Level KonfigurationBeschreibung OptIn (Standard- konfiguration) DEP ist in der Standardkonfiguration für eine limitierte Anzahl von System Binaries und Applikationen aktiviert. Mit dieser Option werden standardmäßig nur Windows System Binaries durch DEP geschützt. OptOutDEP ist standardmäßig für alle Prozesse aktiviert. Anwender können für spezifische Anwendungen eine Ausnahmeliste definieren. IT Pros und ISVs können durch Verwendung des ACT Anwendungen vom Schutz durch DEP ausschließen. System Compatibility Fixes “sperren” DEP. AlwaysOnVollständiger Schutz durch DEP für das gesamte System. Es sind keine Ausnahmen – auch nicht über das Application Compatibility Toolkit möglich. AlwaysOffKeinerlei Schutz durch DEP für irgendeine Komponente des Systems.

28 Andauernder Reboot Problem & Lösung #1 Problem: Andauernder Neustart des Systems nach der SP2 Installation PC mit DEP und MPEGPORT.SYS (Legacy Hardware DVD Controller) Lösung: aspx?kbid= aspx?kbid= /noexecute=alwaysoff in boot.ini

29 „Eingefrorene“ Startseite Problem & Lösung #2 Problem: Bleibt bei der Anzeige der Windows XP- Startseite stehen Tritt bei bestimmten CPU / Mother-board- Kombinationen auf (Shuttle und Intel Prescott) Lösung: L1/L2 Cache für die Installations-phase deaktivieren BIOS Update

30 BIOS, CPU-Revision Problem & Lösung #3 Problem: Zu alte Microcode-Version bei Intel Prescott CPUs (CPU-Revision < 8) tools/frequencyid tools/frequencyidLösung: BIOS Update Workaround: PC im abgesicherten Modus starten – update.sys in update.bak umbenennen – SP2 installieren – update.bak wieder in update.sys umbenennen

31 „Hängt“ bei Shutdownseite Problem & Lösung #4 Problem: System (mehrere Fujitsu-Siemens Modelle) kann nicht heruntergefahren werden Bleibt bei der Anzeige der Windows XP- Shutdownseite stehen Lösung: BIOS Update

32 Performance-Problem Problem & Lösung #5 Problem: Nach der Installation von SP2 sehr schlechte System-Performance Lösung: DEP testweise deaktivieren (nur 32-Bit-Systeme)

33 Webseiten-Darstellung Problem & Lösung #6 Problem: Webseiten werden nicht korrekt / unvollständig angezeigt Lösung: Pop-up-Einstellungen überprüfen Seite zu den vertrauenswürdigen Sites hinzufügen Add-on Verwaltung überprüfen (Flash, Shockwave, PDF, usw.)

34 Agenda Grundlegende Überlegungen Anpassung der Installation Probleme und Lösungen Weiterführende Informationen

35 Patches für Microsoft Produkte Client-Firewall-Einstellungen in einem SBS 2003-Netz nicht möglich aspx?kbid= aspx?kbid= Verschiedene Effekte mit MS SQL aspx?kbid= aspx?kbid= Verschiedene Effekte mit MS CRM aspx?kbid= aspx?kbid=870635

36 Weitere KB-Artikel GPO-Darstellung (Länge) Programme, die scheinbar nicht laufen Programme, die sich anders verhalten

37


Herunterladen ppt "Windows XP Service Pack 2 Technischer Überblick für Administratoren an Praxisbeispielen Michael Kalbe Technologieberater - Security Microsoft Deutschland."

Ähnliche Präsentationen


Google-Anzeigen