Modul 3: Windows XP Service Pack 2 mit verbesserten Sicherheitstechnologien Konfiguration und Support nach der Installation
Was ist nach der Installation zu berücksichtigen? Gelegenheit zur Sicherheitsprüfung (siehe Unterrichtseinheit 1) –Microsoft Baseline Security Analyzer zur Überprüfung des Sicherheitsstatus –Überprüfen der Verwendung/des Status von Antivirusprogrammen und Firewalls –Aktualisieren vorhandener Windows XP-basierter Systeme auf SP2 Überlegungen zur Aktualisierung auf SP2 –Änderungen in Bezug auf Automatische Updates (Out-of-Box- Experience) und das Funktionsverhalten –Windows-Firewall standardmäßig aktiviert –Neues Sicherheitscenter und Interaktion mit Drittanbieteranwendungen –Neues Internet Explorer-Verhalten
Automatische Updates: Neuerungen
Automatische Updates Automatische Aktualisierung von Systemen Entwurfsziel Sicherheit als Standard Gemeinsam genutzte Clientinfrastruktur mit Windows Update Kontrolle durch Richtlinien Microsoft-Updates (Windows, Office, SQL, Exchange usw.) Optimierte Downloads –Updategröße: MSP und Windows-Patches –Windows Update-Synergie
Automatische Updates auf der Windows- Willkommenseite
Die Automatische Updates-Seite wird bei Neuinstallationen nach der PID- Seite und vor der Seite mit dem Computernamen angezeigt. Wenn Benutzer Automatische Updates (AU) aktivieren: –Automatische Downloads erfolgen täglich um 3 Uhr OEMs können die Seite nicht ausblenden und für den Benutzer die Auswahl (Opt-in) übernehmen –Nach dem Datenschutzgesetz muss der Benutzer die Möglichkeit haben, selbst auszuwählen Sysprep ändert nicht die AU-Einstellungen –Wenn OEMs vor der Bereitstellung für AU einen Zeitplan festlegen, wird die AU- Seite beim ersten Start nicht angezeigt. Der OEM muss in diesem Fall das Datenschutzgesetz (Opt-in-Rechte) einhalten. Die Automatische Updates-Seite wird mit folgenden Ausnahmen standardmäßig angezeigt: –AU ist bereits für Downloads nach Zeitplan konfiguriert (Aktualisierung) –Automatische Updates im Zeitplanmodus, wenn AutomaticUpdates=1 im Abschnitt [Data] der Datei UNATTEND.TXT –Bei Unternehmensinstallationen in den folgenden Fällen –Bei Konfiguration der Automatischen Updates mit Hilfe von Richtlinien –Bei Ausführung der Installation im unbeaufsichtigten Modus (nicht über Windows Update oder Automatische Updates).
Automatische Updates: Opt-in-Verfahren Taskleistensymbol:
Automatische Updates: Systemsteuerung
Automatische Updates: Nach Zeitplan Updates werden ggf. nach einem Zeitplan automatisch und im Hintergrund installiert. –Sofortige Installation von Updates ohne Auswirkungen Bei erforderlichem Neustart werden die angemeldeten Benutzer benachrichtigt. Ist der Computer zur vorgesehenen Zeit ausgeschaltet, werden die Updates beim Start installiert.
Automatische Updates: Im Unternehmen Unterstützung für Richtlinien über die Registrierung –Automatische Updates konfigurieren, WU-Intranetserver angeben, kein automatischer Neustart, Wartezeit neu festlegen –Automatische Updates erforderlich –Erkennungsfrequenz –Zeitüberschreitung für Neustart und Neustartintervall –Unterstützung für Benutzer ohne Administratorrechte Kompatibel mit dem WU-Intranetdienst (SUS) –Client kompatibel mit V1- und V2-Servern –Fristen für Installationen, Unterstützung für Deinstallationen und nur Suche nach Updates –Mehrere Updates: Vorrangigkeit, Bedingungen –Client aktualisiert sich selbst –Client-APIs
Windows Update
Installation beim Herunterfahren Aktualisieren Sie den Computer beim Herunterfahren Entwurfsziel Sicherheit als Standard Kontrolle durch Richtlinien
Windows-Firewall
Standardmäßig aktiviert –Sie können die Windows-Firewall deaktivieren, wenn eine Drittanbieterfirewall aktiviert ist Unterstützung für Firewalls von Drittanbietern –Über das WMI-Schema (Windows Management Instrumentation oder Windows-Verwaltungsinstrumentation) des Sicherheitscenters können Drittanbieter eigene Firewall- und Virenschutzlösungen einbauen –Das neue WMI-Schemas erfordert eine Anpassung der Software von Drittanbietern, um sie in die Benutzeroberfläche des Sicherheitscenters zu integrieren –Nachdem der Anbieter die WMI-Schnittstelle implementiert hat, erkennt das Sicherheitscenter die Software und prüft automatisch den Status der Firewall- oder Virenschutzlösung
Weitere Informationen Auf der MSDN-Website finden Sie weitere CPL-Links für das Sicherheitscenter OPK-Option zur Deaktivierung der Taskleisten-Benachrichtigung –Fügen Sie Disablesecuritycenteralerts = ON in Unattend.txt hinzu Erste Ausführung –WSC wird nach einer Aktualisierung (von SP1 auf SP2) bei der ersten Administratoranmeldung angezeigt Domänenmitgliedschaft –Empfehlungen und Benachrichtigungen werden für PCs in einer Domäne deaktiviert WMI-Anbieterspezifikation –Weitergabe an MVI-Forum (Microsoft Virus Initiative) –Große Anzahl an Firmwareanbietern
Windows-Firewall Die Features im Überblick (Fortsetzung) Mehrere Profile für PCs in einer Domäne – Domäne, wenn der PC mit dem Firmennetzwerk verbunden ist – Standard, wenn der PC mit einem anderen Netzwerk verbunden ist –PCs in einer Arbeitsgruppe können nur Standardprofile verwenden Einfacher Einstieg in die Konfigurationsoberfläche –Task im Ordner Netzwerkverbindungen –Verknüpfung in Netzwerk- und Internetverbindungen (Systemsteuerung) –Verknüpfung im Sicherheitscenter Aktualisierte Konfigurationsoberfläche –Jetzt CPL anstatt Registerkarte für Netzwerkverbindung Ausnahmenliste –Anwendungen, die kommunizieren dürfen –Statische Portöffnung Benachrichtigungs-Dialogfeld für Anwendungen, die mit dem Netzwerk kommunizieren
Unmittelbarer Schutz Bei XP SP2 muss Windows mit einer aktivierten Firewall ausgestattet sein –Dabei kann es sich um die Windows-Firewall oder um eine Drittanbieterfirewall handeln –Die Firewall muss aktiviert sein und den PC vor Netzwerkangriffen schützen Legen Sie bei Verwendung einer Drittanbieterfirewall den Betriebsmodus der Windows-Firewall auf Inaktiv fest –Sicherheit ist beim Start weiterhin gegeben –Keine Filterung zur Ausführungszeit Fügen Sie bei Verwendung der Windows-Firewall der Ausnahmenliste die jeweils erforderlichen Anwendungen hinzu –Nur Anwendungen, die mit dem Netzwerk kommunizieren, müssen aufgelistet werden
Windows-Firewall Für die Konfiguration der Firewalleinstellungen muss Ihre Antwortdatei den Abschnitt [WindowsFirewall] enthalten Einstellungen in Unattend.txt und Sysprep.inf in [WindowsFirewall]: –MyProfile Typ, Modus, Ausnahmen, Benachrichtigungen, Multicast, Zugelassene Programme, Dienste, Portöffnungen, ICMP- Einstellungen, Protokolldateieinstellungen –MyProgram Programmpfad, Name, Modus, Bereich, Adressen –MyService Typ, Modus, Bereich, Adressen –MyPortOpening Protokoll, Port, Name, Modus, Bereich, Adressen –MyIcmp Einstellungen zur Kontrolle von eingehenden/ausgehenden ICMP-Nachrichten
Windows-Sicherheitscenter
Die Features im Überblick Vorteile dieses Features Klare Empfehlungen Bessere Gewährleistung, dass Benutzer Empfehlungen folgen Aktionsplan für Normalbenutzer Nachrichten zum Sicherheitsstatus in Echtzeit Zentrale Stelle für Informationen zum Thema Sicherheit Was ist das Sicherheitscenter? Eine neue Kategorie in der Systemsteuerung Verknüpfungen zu anderen sicherheitsbezogenen Applets der Systemsteuerung Kontrolllampensymbol für jedes Modul Sicherheitsempfehlungen –Automatische Windows-Updates Konfiguriert für Automatische Updates? –Firewall Installiert? Aktiv? –Virenschutz Installiert? Signatur aktuell? Echtzeitüberprüfung aktiviert? Benutzeroptionen –Benachrichtigung über Taskleiste deaktivieren –Status selbst überwachen
WSC: Benutzererfahrung Warnungen in der TaskleisteWarnungen in Windows-Sicherheitscenter (Systemsteuerung ) Dialogfeld mit Empfehlungen
Wie das WSC funktioniert Erkennung von Antivirus- und Firewallanwendungen von Drittanbietern Legacy Manuelle Erkennung über Registrierungsschlüssel, Dateien usw. Vereinfacht durch Drittanbieter Vollständige Erkennung Ausschließlich Installationserkennung SP2 und höher WMI-Schema Integriert in Drittanbieterprodukte Erhältlich von Anbietern über Signatur, Modul oder andere Updates
AV-/FW-Produkte: Manuelle Erkennung durch WSC FW McAfeeFirewall NortonFirewall (nur Installationserkennung) PandaFirewall TinyFirewall TrendFirewall WindowsFirewall ZoneLabsFirewall (nur Installationserkennung) AV AhnlabAV (nur Installationserkennung) ETrustAV KasperskyAV McAfeeAV NortonAV (nur Installationserkennung) PandaAV SophosAV TrendAV Hinweis: Informationen waren zum Zeitpunkt der Veröffentlichung aktuell. Änderungen vorbehalten.
OEM-Konfigurationsoptionen Informationen dazu, wie Sie im Sicherheitscenter CPL- Links hinzufügen können, finden Sie auf der MSDN- Website –Unter dem RegistrierungsschlüsselHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/ CurrentVersion/Control Panel/Extended Properties/{305CA226-D e-B848-2B2E8E697B74} 2 –Fügen Sie den folgenden Wert hinzu (hexadezimal): "%SystemRoot%/System32/foo.cpl"=[DWORD] 0x0A OPK-Option zur Deaktivierung der Taskleisten- Benachrichtigung –Fügen Sie Disablesecuritycenteralerts = ON in Unattend.txt hinzu
Weitere wichtige Informationen Bei der ersten Anmeldung –Update: von XP auf SP2 oder von SP1 auf SP2 Erste Anmeldung jedes Administrators nach der Installation von SP2 WSC-Benutzeroberfläche wird automatisch gestartet Bei roter Kontrolllampe: Taskleiste und Benachrichtigungen werden ebenfalls angezeigt –Slipstream: Erstinstallation oder Aktualisierung früherer Windows-Version auf SP2 WSC-Benutzeroberfläche wird nicht automatisch gestartet Bei roter Kontrolllampe und wenn die Benachrichtigungsoption mit Hilfe der Datei Unattend.txt nicht deaktiviert wurde, werden Taskleiste und Benachrichtigungen angezeigt PC in einer Domäne –Erkennung, ob ein PC Mitglied einer Domäne ist –WSC-Dienst wird nicht ausgeführt, daher keine Taskleiste und Benachrichtigungen –Keine Benutzeroberfläche mit Empfehlungen WMI-Anbieterspezifikation –Weitergabe an MVI-Forum –Große Anzahl an Firmwareanbietern
Internet Explorer
Internet Explorer in Windows XP SP2 Angestrebte IE-Sicherheitsfunktionalität in XP SP2: –Mehr Sicherheit beim Surfen –Sperren unerwünschter Popupfenster und Downloads –Weitere Nutzung vorhandener Anwendungen und Websites Vorteile –Die Critical Rate von IE um 75 % verringern –Dadurch verringert sich die Anzahl der Patches pro Jahr von 7,5 auf 3,5 Neuerungen in Internet Explorer –Neue Sicherheitstechnologien reduzieren die Angriffsfläche des Browsers –Tools, die die Sicherheit im Internet erhöhen –AppCompat-Einstellungen über Gruppenrichtlinien und API –Und weitere Neuerungen...
Reduzierte Angriffsfläche Skriptbasierte Fenster als Täuschungsversuch: Heute
Reduzierte Angriffsfläche Skriptbasierte Fenster als Täuschungsversuch: XP SP2
Reduzierte Angriffsfläche Skriptbasierte Fenstereinschränkungen Problem Skriptbasierte Fenster können dazu genutzt werden, den Benutzer zu täuschen Lösung Legen Sie für die Anzeige von Popupfenstern Bildschirmbegrenzungen (Größe und Position) fest Standards –Werden nur für IE angewandt und sind standardmäßig aktiviert –In der Intranetzone weniger restriktiv –Statusleiste für Popupfenster und IE-Standardfenster standardmäßig aktiviert
Tools für eine höhere Sicherheit im Internet (1 von 3) Popup-Manager Problem –Benutzer haben auf ihrem System keine Kontrolle über Popupfenster. –Bei einigen Angriffen werden Benutzer mit Popups und Download-Dialogfeldern getäuscht. Lösung –Möglichkeit zur Sperrung skriptbasierter Popups Nur Internetzone Nur für IE angewandt – standardmäßig aktiviert –Ein Popup bei Benutzeraktion zugelassen Kompatibilitätsmaßnahmen –Zum Öffnen von Popups Mausklick erforderlich –Verwalten einer Liste mit zugelassenen Websites –Verwalten der globalen Einstellung zur Featuresteuerung für IE und andere Anwendungen –Deaktivieren des Features Kompatibilitätsaspekte –Wichtige Informationen auf Websites sollten nicht über skriptbasierte Popups angezeigt werden.
Tools für eine höhere Sicherheit im Internet (2 von 3) Automatisches Sperren von Downloads Problem –Benutzer installieren versehentlich unerwünschte Downloads. Lösung –ActiveX und nicht vom Benutzer initiierte ausführbare Dateien werden gesperrt – bis der Benutzer auf die Infoleiste klickt. Nur Internetzone Wird nur für IE angewandt –Benutzer können nicht vertrauenswürdige Herausgeber sperren. Kompatibilitätsmaßnahmen –Mausklick auf Warnleiste oder Downloadlink erforderlich –Verwaltung über Richtlinien –Überarbeitung von Websites Kompatibilitätsaspekte –Downloads von ausführbaren Dateien und ActiveX nur bei Mausklick –Keine Umleitung von Seiten, wenn Steuerelemente nicht geladen werden können –Alle Downloads signieren Aktualisierte ActiveX/Downloadaufforderungen für mehr Einheitlichkeit ActiveX/Downloadaufforderungen ausgeblendet, bis der Benutzer auf die Warnleiste klickt Benutzer können Herausgeber für ActiveX sperren
Tools für eine höhere Sicherheit im Internet (3 von 3) Verwaltung von Add-Ons und Absturzerkennung Problem –Im Browser werden unerwünschte Add-Ons ausgeführt. Lösung –Mit der Systemsteuerungsoption Add-Ons verwalten können unerwünschte Steuerelemente deaktiviert werden. –IE versucht festzustellen, welche Add-Ons abgestürzt sind, und informiert Benutzer. Kompatibilitätsmaßnahmen –Zugriff mit Hilfe von Richtlinien auf Steuerelement Add-Ons verwalten beschränken
Aktionsplan Lesen Sie die OPK-Dokumentation In Windows XP SP2 OEM System Builder Multipacks enthalten Testen Sie die Funktionalität der neuen Features in Windows XP SP2 auf den PCs, die Sie herstellen Überprüfen Sie mit Hilfe von Microsoft Baseline Security Analyzer den Sicherheitsstatus Überprüfen Sie die Verwendung/den Status von Antivirussoftware und Firewalls Aktualisieren Sie vorhandene Windows XP-basierte Systeme auf SP2 Für die Aktualisierung der Systeme Ihrer Kunden stehen entsprechende Medien zur Verfügung ( bzw. http.// )