Upload
hrodebert-borchard
View
107
Download
1
Embed Size (px)
Citation preview
Modul 3:
Windows XP Service Pack 2mit verbesserten Sicherheitstechnologien
Konfiguration und Support nach der Installation
Was ist nach der Installation zu berücksichtigen?• Gelegenheit zur Sicherheitsprüfung (siehe Unterrichtseinheit 1)
– Microsoft Baseline Security Analyzer zur Überprüfung des Sicherheitsstatus
– Überprüfen der Verwendung/des Status von Antivirusprogrammen und Firewalls
– Aktualisieren vorhandener Windows XP-basierter Systeme auf SP2
• Überlegungen zur Aktualisierung auf SP2– Änderungen in Bezug auf Automatische Updates (Out-of-Box-Experience) und das
Funktionsverhalten
– Windows-Firewall standardmäßig aktiviert
– Neues Sicherheitscenter und Interaktion mit Drittanbieteranwendungen
– Neues Internet Explorer-Verhalten
Automatische Updates: Neuerungen
Automatische Updates• Automatische Aktualisierung von Systemen• Entwurfsziel „Sicherheit als Standard“• Gemeinsam genutzte Clientinfrastruktur mit
Windows Update• Kontrolle durch Richtlinien• Microsoft-Updates (Windows, Office, SQL, Exchange
usw.)• Optimierte Downloads
– Updategröße: MSP und Windows-Patches – Windows Update-Synergie
Automatische Updates auf der Windows-Willkommenseite
Automatische Updates auf der Windows-Willkommenseite
• Die Automatische Updates-Seite wird bei Neuinstallationen nach der PID-Seite und vor der Seite mit dem Computernamen angezeigt.
• Wenn Benutzer Automatische Updates (AU) aktivieren:– Automatische Downloads erfolgen täglich um 3 Uhr
• OEMs können die Seite nicht ausblenden und für den Benutzer die Auswahl (Opt-in) übernehmen
– Nach dem Datenschutzgesetz muss der Benutzer die Möglichkeit haben, selbst auszuwählen
• Sysprep ändert nicht die AU-Einstellungen– Wenn OEMs vor der Bereitstellung für AU einen Zeitplan festlegen, wird die
AU-Seite beim ersten Start nicht angezeigt. Der OEM muss in diesem Fall das Datenschutzgesetz (Opt-in-Rechte) einhalten.
• Die Automatische Updates-Seite wird mit folgenden Ausnahmen standardmäßig angezeigt:
– AU ist bereits für Downloads nach Zeitplan konfiguriert (Aktualisierung)– Automatische Updates im Zeitplanmodus, wenn „AutomaticUpdates=1“ im
Abschnitt „[Data]“ der Datei UNATTEND.TXT– Bei Unternehmensinstallationen in den folgenden Fällen– Bei Konfiguration der Automatischen Updates mit Hilfe von Richtlinien– Bei Ausführung der Installation im unbeaufsichtigten Modus (nicht über
Windows Update oder Automatische Updates).
Automatische Updates: Opt-in-Verfahren
Taskleistensymbol:
Automatische Updates: Systemsteuerung
Automatische Updates: Nach Zeitplan• Updates werden ggf. nach einem Zeitplan automatisch und im Hintergrund
installiert.– Sofortige Installation von Updates ohne Auswirkungen
• Bei erforderlichem Neustart werden die angemeldeten Benutzer benachrichtigt.
• Ist der Computer zur vorgesehenen Zeit ausgeschaltet, werden die Updates beim Start installiert.
Automatische Updates: Im Unternehmen• Unterstützung für Richtlinien über die Registrierung
– Automatische Updates konfigurieren, WU-Intranetserver angeben, kein automatischer Neustart, Wartezeit neu festlegen
– Automatische Updates erforderlich– Erkennungsfrequenz– Zeitüberschreitung für Neustart und Neustartintervall– Unterstützung für Benutzer ohne Administratorrechte
• Kompatibel mit dem WU-Intranetdienst (SUS)– Client kompatibel mit V1- und V2-Servern– Fristen für Installationen, Unterstützung für Deinstallationen und nur Suche nach Updates– Mehrere Updates: Vorrangigkeit, Bedingungen– Client aktualisiert sich selbst– Client-APIs
Windows Update
Windows Update
Windows Update
Installation beim Herunterfahren• Aktualisieren Sie den Computer beim Herunterfahren • Entwurfsziel „Sicherheit als Standard“• Kontrolle durch Richtlinien
Windows-Firewall
Windows-Firewall• Standardmäßig aktiviert
– Sie können die Windows-Firewall deaktivieren, wenn eine Drittanbieterfirewall aktiviert ist
• Unterstützung für Firewalls von Drittanbietern– Über das WMI-Schema (Windows Management Instrumentation
oder Windows-Verwaltungsinstrumentation) des Sicherheitscenters können Drittanbieter eigene Firewall- und Virenschutzlösungen einbauen
– Das neue WMI-Schemas erfordert eine Anpassung der Software von Drittanbietern, um sie in die Benutzeroberfläche des Sicherheitscenters zu integrieren
– Nachdem der Anbieter die WMI-Schnittstelle implementiert hat, erkennt das Sicherheitscenter die Software und prüft automatisch den Status der Firewall- oder Virenschutzlösung
Weitere Informationen• Auf der MSDN-Website finden Sie weitere CPL-Links für das
Sicherheitscenter• OPK-Option zur Deaktivierung der Taskleisten-
Benachrichtigung– Fügen Sie „Disablesecuritycenteralerts = ON“ in Unattend.txt
hinzu
• Erste Ausführung– WSC wird nach einer Aktualisierung (von SP1 auf SP2) bei der
ersten Administratoranmeldung angezeigt
• Domänenmitgliedschaft– Empfehlungen und Benachrichtigungen werden für PCs in einer
Domäne deaktiviert
• WMI-Anbieterspezifikation– Weitergabe an MVI-Forum (Microsoft Virus Initiative)
– Große Anzahl an Firmwareanbietern
Windows-FirewallDie Features im Überblick (Fortsetzung)
• Mehrere Profile für PCs in einer Domäne– „Domäne“, wenn der PC mit dem Firmennetzwerk verbunden ist– „Standard“, wenn der PC mit einem anderen Netzwerk verbunden
ist– PCs in einer Arbeitsgruppe können nur Standardprofile verwenden
• Einfacher Einstieg in die Konfigurationsoberfläche– Task im Ordner „Netzwerkverbindungen“– Verknüpfung in „Netzwerk- und Internetverbindungen“
(Systemsteuerung)– Verknüpfung im Sicherheitscenter
• Aktualisierte Konfigurationsoberfläche– Jetzt CPL anstatt Registerkarte für Netzwerkverbindung
• Ausnahmenliste– Anwendungen, die kommunizieren dürfen– Statische Portöffnung
• Benachrichtigungs-Dialogfeld für Anwendungen, die mit dem Netzwerk kommunizieren
Unmittelbarer Schutz
• Bei XP SP2 muss Windows mit einer aktivierten Firewall ausgestattet sein
– Dabei kann es sich um die Windows-Firewall oder um eine Drittanbieterfirewall handeln
– Die Firewall muss aktiviert sein und den PC vor Netzwerkangriffen schützen
• Legen Sie bei Verwendung einer Drittanbieterfirewall den Betriebsmodus der Windows-Firewall auf „Inaktiv“ fest
– Sicherheit ist beim Start weiterhin gegeben
– Keine Filterung zur Ausführungszeit
• Fügen Sie bei Verwendung der Windows-Firewall der Ausnahmenliste die jeweils erforderlichen Anwendungen hinzu
– Nur Anwendungen, die mit dem Netzwerk kommunizieren, müssen aufgelistet werden
Windows-FirewallFür die Konfiguration der Firewalleinstellungen muss Ihre Antwortdatei den Abschnitt [WindowsFirewall] enthalten
Einstellungen in Unattend.txt und Sysprep.inf in [WindowsFirewall]:– MyProfile
Typ, Modus, Ausnahmen, Benachrichtigungen, Multicast, Zugelassene Programme, Dienste, Portöffnungen, ICMP-Einstellungen, Protokolldateieinstellungen
– MyProgram
Programmpfad, Name, Modus, Bereich, Adressen– MyService
Typ, Modus, Bereich, Adressen– MyPortOpening
Protokoll, Port, Name, Modus, Bereich, Adressen– MyIcmp
Einstellungen zur Kontrolle von eingehenden/ausgehenden ICMP-Nachrichten
Windows-Sicherheitscenter
Die Features im Überblick
Vorteile dieses Features• Klare Empfehlungen• Bessere Gewährleistung, dass
Benutzer Empfehlungen folgen• Aktionsplan für Normalbenutzer• Nachrichten zum Sicherheitsstatus
in Echtzeit• Zentrale Stelle für Informationen
zum Thema Sicherheit
Was ist das Sicherheitscenter?• Eine neue Kategorie in der
Systemsteuerung• Verknüpfungen zu anderen
sicherheitsbezogenen Applets der Systemsteuerung
• Kontrolllampensymbol für jedes Modul• Sicherheitsempfehlungen
– Automatische Windows-Updates
Konfiguriert für Automatische Updates?
– Firewall
Installiert?Aktiv?
– Virenschutz
Installiert?Signatur aktuell?Echtzeitüberprüfung aktiviert?
• Benutzeroptionen– Benachrichtigung über Taskleiste
deaktivieren– Status selbst überwachen
WSC: BenutzererfahrungWarnungen in der TaskleisteWarnungen in
Windows-Sicherheitscenter (Systemsteuerung )
Dialogfeld mit Empfehlungen
Wie das WSC funktioniertErkennung von Antivirus- und Firewallanwendungen von Drittanbietern
Legacy „Manuelle Erkennung“ über
Registrierungsschlüssel, Dateien usw.
Vereinfacht durch Drittanbieter
Vollständige Erkennung
Ausschließlich Installationserkennung
SP2 und höher WMI-Schema Integriert in
Drittanbieterprodukte Erhältlich von Anbietern
über Signatur, Modul oder andere Updates
AV-/FW-Produkte: Manuelle Erkennung durch WSC
FW
• McAfeeFirewall• NortonFirewall (nur
Installationserkennung)• PandaFirewall• TinyFirewall• TrendFirewall• WindowsFirewall• ZoneLabsFirewall (nur
Installationserkennung)
AV
• AhnlabAV (nur Installationserkennung)
• ETrustAV• KasperskyAV• McAfeeAV• NortonAV (nur
Installationserkennung)• PandaAV• SophosAV• TrendAV
Hinweis: Informationen waren zum Zeitpunkt der Veröffentlichung aktuell. Änderungen vorbehalten.
OEM-Konfigurationsoptionen• Informationen dazu, wie Sie im Sicherheitscenter CPL-Links
hinzufügen können, finden Sie auf der MSDN-Website– Unter dem Registrierungsschlüssel
„HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Control Panel/Extended Properties/{305CA226-D286-468e-B848-2B2E8E697B74} 2“
– Fügen Sie den folgenden Wert hinzu (hexadezimal): "%SystemRoot%/System32/foo.cpl"=[DWORD] 0x0A
• OPK-Option zur Deaktivierung der Taskleisten-Benachrichtigung– Fügen Sie „Disablesecuritycenteralerts = ON“ in Unattend.txt hinzu
Weitere wichtige Informationen• Bei der ersten Anmeldung
– Update: von XP auf SP2 oder von SP1 auf SP2Erste Anmeldung jedes Administrators nach der Installation von SP2WSC-Benutzeroberfläche wird automatisch gestartetBei roter Kontrolllampe: Taskleiste und Benachrichtigungen werden ebenfalls angezeigt
– Slipstream: Erstinstallation oder Aktualisierung früherer Windows-Version auf SP2WSC-Benutzeroberfläche wird nicht automatisch gestartetBei roter Kontrolllampe und wenn die Benachrichtigungsoption mit Hilfe der Datei Unattend.txt nicht
deaktiviert wurde, werden Taskleiste und Benachrichtigungen angezeigt• PC in einer Domäne
– Erkennung, ob ein PC Mitglied einer Domäne ist– WSC-Dienst wird nicht ausgeführt, daher keine Taskleiste und Benachrichtigungen– Keine Benutzeroberfläche mit Empfehlungen
• WMI-Anbieterspezifikation– Weitergabe an MVI-Forum– Große Anzahl an Firmwareanbietern
Internet Explorer
Internet Explorer in Windows XP SP2• Angestrebte IE-Sicherheitsfunktionalität in XP SP2:
– Mehr Sicherheit beim Surfen
– Sperren unerwünschter Popupfenster und Downloads
– Weitere Nutzung vorhandener Anwendungen und Websites
• Vorteile– Die „Critical Rate“ von IE um 75 % verringern
– Dadurch verringert sich die Anzahl der Patches pro Jahr von 7,5 auf 3,5
• Neuerungen in Internet Explorer– Neue Sicherheitstechnologien reduzieren die Angriffsfläche des Browsers
– Tools, die die Sicherheit im Internet erhöhen
– AppCompat-Einstellungen über Gruppenrichtlinien und API
– Und weitere Neuerungen ...
Reduzierte AngriffsflächeSkriptbasierte Fenster als Täuschungsversuch: Heute
Reduzierte AngriffsflächeSkriptbasierte Fenster als Täuschungsversuch: XP SP2
Reduzierte AngriffsflächeSkriptbasierte Fenstereinschränkungen
Problem• Skriptbasierte Fenster können dazu genutzt werden, den Benutzer zu täuschen
Lösung• Legen Sie für die Anzeige von Popupfenstern Bildschirmbegrenzungen (Größe
und Position) fest• Standards
– Werden nur für IE angewandt und sind standardmäßig aktiviert
– In der Intranetzone weniger restriktiv
– Statusleiste für Popupfenster und IE-Standardfenster standardmäßig aktiviert
Tools für eine höhere Sicherheit im Internet (1 von 3) Popup-Manager• Problem
– Benutzer haben auf ihrem System keine Kontrolle über Popupfenster.
– Bei einigen Angriffen werden Benutzer mit Popups und Download-Dialogfeldern getäuscht.
• Lösung – Möglichkeit zur Sperrung skriptbasierter Popups
Nur InternetzoneNur für IE angewandt – standardmäßig aktiviert
– Ein Popup bei Benutzeraktion zugelassen• Kompatibilitätsmaßnahmen
– Zum Öffnen von Popups Mausklick erforderlich– Verwalten einer Liste mit zugelassenen Websites– Verwalten der globalen Einstellung zur
Featuresteuerung für IE und andere Anwendungen– Deaktivieren des Features
• Kompatibilitätsaspekte– Wichtige Informationen auf Websites sollten nicht
über skriptbasierte Popups angezeigt werden.
Tools für eine höhere Sicherheit im Internet (2 von 3)Automatisches Sperren von Downloads• Problem
– Benutzer installieren versehentlich unerwünschte Downloads.
• Lösung– ActiveX und nicht vom Benutzer
initiierte ausführbare Dateien werden gesperrt – bis der Benutzer auf die Infoleiste klickt.
Nur InternetzoneWird nur für IE angewandt
– Benutzer können nicht vertrauenswürdige Herausgeber sperren.
• Kompatibilitätsmaßnahmen– Mausklick auf Warnleiste oder
Downloadlink erforderlich– Verwaltung über Richtlinien– Überarbeitung von Websites
• Kompatibilitätsaspekte– Downloads von ausführbaren
Dateien und ActiveX nur bei Mausklick
– Keine Umleitung von Seiten, wenn Steuerelemente nicht geladen werden können
– Alle Downloads signieren
Aktualisierte ActiveX/Downloadaufforderungen für mehr Einheitlichkeit
ActiveX/Downloadaufforderungen ausgeblendet, bis der Benutzer auf die Warnleiste klickt
Benutzer können Herausgeber für ActiveX sperren
Tools für eine höhere Sicherheit im Internet (3 von 3)Verwaltung von Add-Ons und Absturzerkennung
• Problem– Im Browser werden unerwünschte Add-
Ons ausgeführt.• Lösung
– Mit der Systemsteuerungsoption „Add-Ons verwalten“ können unerwünschte Steuerelemente deaktiviert werden.
– IE versucht festzustellen, welche Add-Ons abgestürzt sind, und informiert Benutzer.
• Kompatibilitätsmaßnahmen– Zugriff mit Hilfe von Richtlinien auf
Steuerelement „Add-Ons verwalten“ beschränken
Aktionsplan1. Lesen Sie die OPK-Dokumentation
In Windows XP SP2 OEM System Builder Multipacks enthalten
2. Testen Sie die Funktionalität der neuen Features in Windows XP SP2 auf den PCs, die Sie herstellen
3. Überprüfen Sie mit Hilfe von Microsoft Baseline Security Analyzer den Sicherheitsstatus
4. Überprüfen Sie die Verwendung/den Status von Antivirussoftware und Firewalls
5. Aktualisieren Sie vorhandene Windows XP-basierte Systeme auf SP2 Für die Aktualisierung der Systeme Ihrer Kunden stehen entsprechende Medien
zur Verfügung (http://oem.microsoft.com bzw. http.//www.microsoft.com/germany/sp2 )