Modul 3:

Windows XP Service Pack 2mit verbesserten Sicherheitstechnologien

Konfiguration und Support nach der Installation

Was ist nach der Installation zu berücksichtigen?• Gelegenheit zur Sicherheitsprüfung (siehe Unterrichtseinheit 1)

– Microsoft Baseline Security Analyzer zur Überprüfung des Sicherheitsstatus

– Überprüfen der Verwendung/des Status von Antivirusprogrammen und Firewalls

– Aktualisieren vorhandener Windows XP-basierter Systeme auf SP2

• Überlegungen zur Aktualisierung auf SP2– Änderungen in Bezug auf Automatische Updates (Out-of-Box-Experience) und das

Funktionsverhalten

– Windows-Firewall standardmäßig aktiviert

– Neues Sicherheitscenter und Interaktion mit Drittanbieteranwendungen

– Neues Internet Explorer-Verhalten

Automatische Updates: Neuerungen

Automatische Updates• Automatische Aktualisierung von Systemen• Entwurfsziel „Sicherheit als Standard“• Gemeinsam genutzte Clientinfrastruktur mit

Windows Update• Kontrolle durch Richtlinien• Microsoft-Updates (Windows, Office, SQL, Exchange

usw.)• Optimierte Downloads

– Updategröße: MSP und Windows-Patches – Windows Update-Synergie

Automatische Updates auf der Windows-Willkommenseite

Automatische Updates auf der Windows-Willkommenseite

• Die Automatische Updates-Seite wird bei Neuinstallationen nach der PID-Seite und vor der Seite mit dem Computernamen angezeigt.

• Wenn Benutzer Automatische Updates (AU) aktivieren:– Automatische Downloads erfolgen täglich um 3 Uhr

• OEMs können die Seite nicht ausblenden und für den Benutzer die Auswahl (Opt-in) übernehmen

– Nach dem Datenschutzgesetz muss der Benutzer die Möglichkeit haben, selbst auszuwählen

• Sysprep ändert nicht die AU-Einstellungen– Wenn OEMs vor der Bereitstellung für AU einen Zeitplan festlegen, wird die

AU-Seite beim ersten Start nicht angezeigt. Der OEM muss in diesem Fall das Datenschutzgesetz (Opt-in-Rechte) einhalten.

• Die Automatische Updates-Seite wird mit folgenden Ausnahmen standardmäßig angezeigt:

– AU ist bereits für Downloads nach Zeitplan konfiguriert (Aktualisierung)– Automatische Updates im Zeitplanmodus, wenn „AutomaticUpdates=1“ im

Abschnitt „[Data]“ der Datei UNATTEND.TXT– Bei Unternehmensinstallationen in den folgenden Fällen– Bei Konfiguration der Automatischen Updates mit Hilfe von Richtlinien– Bei Ausführung der Installation im unbeaufsichtigten Modus (nicht über

Windows Update oder Automatische Updates).

Automatische Updates: Opt-in-Verfahren

Taskleistensymbol:

Automatische Updates: Systemsteuerung

Automatische Updates: Nach Zeitplan• Updates werden ggf. nach einem Zeitplan automatisch und im Hintergrund

installiert.– Sofortige Installation von Updates ohne Auswirkungen

• Bei erforderlichem Neustart werden die angemeldeten Benutzer benachrichtigt.

• Ist der Computer zur vorgesehenen Zeit ausgeschaltet, werden die Updates beim Start installiert.

Automatische Updates: Im Unternehmen• Unterstützung für Richtlinien über die Registrierung

– Automatische Updates konfigurieren, WU-Intranetserver angeben, kein automatischer Neustart, Wartezeit neu festlegen

– Automatische Updates erforderlich– Erkennungsfrequenz– Zeitüberschreitung für Neustart und Neustartintervall– Unterstützung für Benutzer ohne Administratorrechte

• Kompatibel mit dem WU-Intranetdienst (SUS)– Client kompatibel mit V1- und V2-Servern– Fristen für Installationen, Unterstützung für Deinstallationen und nur Suche nach Updates– Mehrere Updates: Vorrangigkeit, Bedingungen– Client aktualisiert sich selbst– Client-APIs

Windows Update

Windows Update

Windows Update

Installation beim Herunterfahren• Aktualisieren Sie den Computer beim Herunterfahren • Entwurfsziel „Sicherheit als Standard“• Kontrolle durch Richtlinien

Windows-Firewall

Windows-Firewall• Standardmäßig aktiviert

– Sie können die Windows-Firewall deaktivieren, wenn eine Drittanbieterfirewall aktiviert ist

• Unterstützung für Firewalls von Drittanbietern– Über das WMI-Schema (Windows Management Instrumentation

oder Windows-Verwaltungsinstrumentation) des Sicherheitscenters können Drittanbieter eigene Firewall- und Virenschutzlösungen einbauen

– Das neue WMI-Schemas erfordert eine Anpassung der Software von Drittanbietern, um sie in die Benutzeroberfläche des Sicherheitscenters zu integrieren

– Nachdem der Anbieter die WMI-Schnittstelle implementiert hat, erkennt das Sicherheitscenter die Software und prüft automatisch den Status der Firewall- oder Virenschutzlösung

Weitere Informationen• Auf der MSDN-Website finden Sie weitere CPL-Links für das

Sicherheitscenter• OPK-Option zur Deaktivierung der Taskleisten-

Benachrichtigung– Fügen Sie „Disablesecuritycenteralerts = ON“ in Unattend.txt

hinzu

• Erste Ausführung– WSC wird nach einer Aktualisierung (von SP1 auf SP2) bei der

ersten Administratoranmeldung angezeigt

• Domänenmitgliedschaft– Empfehlungen und Benachrichtigungen werden für PCs in einer

Domäne deaktiviert

• WMI-Anbieterspezifikation– Weitergabe an MVI-Forum (Microsoft Virus Initiative)

– Große Anzahl an Firmwareanbietern

Windows-FirewallDie Features im Überblick (Fortsetzung)

• Mehrere Profile für PCs in einer Domäne– „Domäne“, wenn der PC mit dem Firmennetzwerk verbunden ist– „Standard“, wenn der PC mit einem anderen Netzwerk verbunden

ist– PCs in einer Arbeitsgruppe können nur Standardprofile verwenden

• Einfacher Einstieg in die Konfigurationsoberfläche– Task im Ordner „Netzwerkverbindungen“– Verknüpfung in „Netzwerk- und Internetverbindungen“

(Systemsteuerung)– Verknüpfung im Sicherheitscenter

• Aktualisierte Konfigurationsoberfläche– Jetzt CPL anstatt Registerkarte für Netzwerkverbindung

• Ausnahmenliste– Anwendungen, die kommunizieren dürfen– Statische Portöffnung

• Benachrichtigungs-Dialogfeld für Anwendungen, die mit dem Netzwerk kommunizieren

Unmittelbarer Schutz

• Bei XP SP2 muss Windows mit einer aktivierten Firewall ausgestattet sein

– Dabei kann es sich um die Windows-Firewall oder um eine Drittanbieterfirewall handeln

– Die Firewall muss aktiviert sein und den PC vor Netzwerkangriffen schützen

• Legen Sie bei Verwendung einer Drittanbieterfirewall den Betriebsmodus der Windows-Firewall auf „Inaktiv“ fest

– Sicherheit ist beim Start weiterhin gegeben

– Keine Filterung zur Ausführungszeit

• Fügen Sie bei Verwendung der Windows-Firewall der Ausnahmenliste die jeweils erforderlichen Anwendungen hinzu

– Nur Anwendungen, die mit dem Netzwerk kommunizieren, müssen aufgelistet werden

Windows-FirewallFür die Konfiguration der Firewalleinstellungen muss Ihre Antwortdatei den Abschnitt [WindowsFirewall] enthalten

Einstellungen in Unattend.txt und Sysprep.inf in [WindowsFirewall]:– MyProfile

Typ, Modus, Ausnahmen, Benachrichtigungen, Multicast, Zugelassene Programme, Dienste, Portöffnungen, ICMP-Einstellungen, Protokolldateieinstellungen

– MyProgram

Programmpfad, Name, Modus, Bereich, Adressen– MyService

Typ, Modus, Bereich, Adressen– MyPortOpening

Protokoll, Port, Name, Modus, Bereich, Adressen– MyIcmp

Einstellungen zur Kontrolle von eingehenden/ausgehenden ICMP-Nachrichten

Windows-Sicherheitscenter

Die Features im Überblick

Vorteile dieses Features• Klare Empfehlungen• Bessere Gewährleistung, dass

Benutzer Empfehlungen folgen• Aktionsplan für Normalbenutzer• Nachrichten zum Sicherheitsstatus

in Echtzeit• Zentrale Stelle für Informationen

zum Thema Sicherheit

Was ist das Sicherheitscenter?• Eine neue Kategorie in der

Systemsteuerung• Verknüpfungen zu anderen

sicherheitsbezogenen Applets der Systemsteuerung

• Kontrolllampensymbol für jedes Modul• Sicherheitsempfehlungen

– Automatische Windows-Updates

Konfiguriert für Automatische Updates?

– Firewall

Installiert?Aktiv?

– Virenschutz

Installiert?Signatur aktuell?Echtzeitüberprüfung aktiviert?

• Benutzeroptionen– Benachrichtigung über Taskleiste

deaktivieren– Status selbst überwachen

WSC: BenutzererfahrungWarnungen in der TaskleisteWarnungen in

Windows-Sicherheitscenter (Systemsteuerung )

Dialogfeld mit Empfehlungen

Wie das WSC funktioniertErkennung von Antivirus- und Firewallanwendungen von Drittanbietern

Legacy „Manuelle Erkennung“ über

Registrierungsschlüssel, Dateien usw.

Vereinfacht durch Drittanbieter

Vollständige Erkennung

Ausschließlich Installationserkennung

SP2 und höher WMI-Schema Integriert in

Drittanbieterprodukte Erhältlich von Anbietern

über Signatur, Modul oder andere Updates

AV-/FW-Produkte: Manuelle Erkennung durch WSC

FW

• McAfeeFirewall• NortonFirewall (nur

Installationserkennung)• PandaFirewall• TinyFirewall• TrendFirewall• WindowsFirewall• ZoneLabsFirewall (nur

Installationserkennung)

AV

• AhnlabAV (nur Installationserkennung)

• ETrustAV• KasperskyAV• McAfeeAV• NortonAV (nur

Installationserkennung)• PandaAV• SophosAV• TrendAV

Hinweis: Informationen waren zum Zeitpunkt der Veröffentlichung aktuell. Änderungen vorbehalten.

OEM-Konfigurationsoptionen• Informationen dazu, wie Sie im Sicherheitscenter CPL-Links

hinzufügen können, finden Sie auf der MSDN-Website– Unter dem Registrierungsschlüssel

„HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Control Panel/Extended Properties/{305CA226-D286-468e-B848-2B2E8E697B74} 2“

– Fügen Sie den folgenden Wert hinzu (hexadezimal): "%SystemRoot%/System32/foo.cpl"=[DWORD] 0x0A

• OPK-Option zur Deaktivierung der Taskleisten-Benachrichtigung– Fügen Sie „Disablesecuritycenteralerts = ON“ in Unattend.txt hinzu

Weitere wichtige Informationen• Bei der ersten Anmeldung

– Update: von XP auf SP2 oder von SP1 auf SP2Erste Anmeldung jedes Administrators nach der Installation von SP2WSC-Benutzeroberfläche wird automatisch gestartetBei roter Kontrolllampe: Taskleiste und Benachrichtigungen werden ebenfalls angezeigt

– Slipstream: Erstinstallation oder Aktualisierung früherer Windows-Version auf SP2WSC-Benutzeroberfläche wird nicht automatisch gestartetBei roter Kontrolllampe und wenn die Benachrichtigungsoption mit Hilfe der Datei Unattend.txt nicht

deaktiviert wurde, werden Taskleiste und Benachrichtigungen angezeigt• PC in einer Domäne

– Erkennung, ob ein PC Mitglied einer Domäne ist– WSC-Dienst wird nicht ausgeführt, daher keine Taskleiste und Benachrichtigungen– Keine Benutzeroberfläche mit Empfehlungen

• WMI-Anbieterspezifikation– Weitergabe an MVI-Forum– Große Anzahl an Firmwareanbietern

Internet Explorer

Internet Explorer in Windows XP SP2• Angestrebte IE-Sicherheitsfunktionalität in XP SP2:

– Mehr Sicherheit beim Surfen

– Sperren unerwünschter Popupfenster und Downloads

– Weitere Nutzung vorhandener Anwendungen und Websites

• Vorteile– Die „Critical Rate“ von IE um 75 % verringern

– Dadurch verringert sich die Anzahl der Patches pro Jahr von 7,5 auf 3,5

• Neuerungen in Internet Explorer– Neue Sicherheitstechnologien reduzieren die Angriffsfläche des Browsers

– Tools, die die Sicherheit im Internet erhöhen

– AppCompat-Einstellungen über Gruppenrichtlinien und API

– Und weitere Neuerungen ...

Reduzierte AngriffsflächeSkriptbasierte Fenster als Täuschungsversuch: Heute

Reduzierte AngriffsflächeSkriptbasierte Fenster als Täuschungsversuch: XP SP2

Reduzierte AngriffsflächeSkriptbasierte Fenstereinschränkungen

Problem• Skriptbasierte Fenster können dazu genutzt werden, den Benutzer zu täuschen

Lösung• Legen Sie für die Anzeige von Popupfenstern Bildschirmbegrenzungen (Größe

und Position) fest• Standards

– Werden nur für IE angewandt und sind standardmäßig aktiviert

– In der Intranetzone weniger restriktiv

– Statusleiste für Popupfenster und IE-Standardfenster standardmäßig aktiviert

Tools für eine höhere Sicherheit im Internet (1 von 3) Popup-Manager• Problem

– Benutzer haben auf ihrem System keine Kontrolle über Popupfenster.

– Bei einigen Angriffen werden Benutzer mit Popups und Download-Dialogfeldern getäuscht.

• Lösung – Möglichkeit zur Sperrung skriptbasierter Popups

Nur InternetzoneNur für IE angewandt – standardmäßig aktiviert

– Ein Popup bei Benutzeraktion zugelassen• Kompatibilitätsmaßnahmen

– Zum Öffnen von Popups Mausklick erforderlich– Verwalten einer Liste mit zugelassenen Websites– Verwalten der globalen Einstellung zur

Featuresteuerung für IE und andere Anwendungen– Deaktivieren des Features

• Kompatibilitätsaspekte– Wichtige Informationen auf Websites sollten nicht

über skriptbasierte Popups angezeigt werden.

Tools für eine höhere Sicherheit im Internet (2 von 3)Automatisches Sperren von Downloads• Problem

– Benutzer installieren versehentlich unerwünschte Downloads.

• Lösung– ActiveX und nicht vom Benutzer

initiierte ausführbare Dateien werden gesperrt – bis der Benutzer auf die Infoleiste klickt.

Nur InternetzoneWird nur für IE angewandt

– Benutzer können nicht vertrauenswürdige Herausgeber sperren.

• Kompatibilitätsmaßnahmen– Mausklick auf Warnleiste oder

Downloadlink erforderlich– Verwaltung über Richtlinien– Überarbeitung von Websites

• Kompatibilitätsaspekte– Downloads von ausführbaren

Dateien und ActiveX nur bei Mausklick

– Keine Umleitung von Seiten, wenn Steuerelemente nicht geladen werden können

– Alle Downloads signieren

Aktualisierte ActiveX/Downloadaufforderungen für mehr Einheitlichkeit

ActiveX/Downloadaufforderungen ausgeblendet, bis der Benutzer auf die Warnleiste klickt

Benutzer können Herausgeber für ActiveX sperren

Tools für eine höhere Sicherheit im Internet (3 von 3)Verwaltung von Add-Ons und Absturzerkennung

• Problem– Im Browser werden unerwünschte Add-

Ons ausgeführt.• Lösung

– Mit der Systemsteuerungsoption „Add-Ons verwalten“ können unerwünschte Steuerelemente deaktiviert werden.

– IE versucht festzustellen, welche Add-Ons abgestürzt sind, und informiert Benutzer.

• Kompatibilitätsmaßnahmen– Zugriff mit Hilfe von Richtlinien auf

Steuerelement „Add-Ons verwalten“ beschränken

Aktionsplan1. Lesen Sie die OPK-Dokumentation

In Windows XP SP2 OEM System Builder Multipacks enthalten

2. Testen Sie die Funktionalität der neuen Features in Windows XP SP2 auf den PCs, die Sie herstellen

3. Überprüfen Sie mit Hilfe von Microsoft Baseline Security Analyzer den Sicherheitsstatus

4. Überprüfen Sie die Verwendung/den Status von Antivirussoftware und Firewalls

5. Aktualisieren Sie vorhandene Windows XP-basierte Systeme auf SP2 Für die Aktualisierung der Systeme Ihrer Kunden stehen entsprechende Medien

zur Verfügung (http://oem.microsoft.com bzw. http.//www.microsoft.com/germany/sp2 )