Bundesamt für Sicherheit in der Informationstechnik

M 2.329 Einführung von Windows XP SP2

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Seit August 2004 ist das Windows XP Service Pack 2 von Microsoft erhältlich. Am 12. April 2005 endete der Zeitraum, in dem die Installation von SP2 mit einem speziellen Tool von Microsoft trotz aktivierten internetbasierten Windows-Update-Dienstes verhindert werden kann. Nur Organisationen, die einen eigenen Update-Server betrieben, können die Installation von SP2 weiterhin verhindern.

Das Service Pack 2 enthält neben Fehlerkorrekturen und Verbesserungen an vorhandenen Mechanismen auch einige sicherheitsrelevante Änderungen oder Erweiterungen. Zu nennen sind hier beispielsweise:

  • Insgesamt mehr als 600 neue Sicherheitsrichtlinien (Windows-Firewall, Security Center, Internet Explorer usw.)
  • Verbesserungen in der Windows-Firewall (früher Internet Connection Firewall, ICF), vor allem die Möglichkeit zur zentralen Administration.
  • Verbesserungen im Internet Explorer: Add-on Management, Pop-up Blocker, Zone Elevation Blocking, konsistente MIME-Verarbeitung, Restriktivere Behandlung von ActiveX-Steuerelementen.
  • Integration von Virenschutzsoftware von Drittherstellern in das sogenannte "Sicherheitscenter", das zur zentralen Verwaltung und Überwachung von Windows Sicherheitseinstellungen gedacht ist.
  • Speicherschutz gegen Buffer Overflows: Der Systemkern und die Bibliotheken wurden mit spezifischen Compiler-Flags übersetzt, das einen Schutz gegen Buffer Overflows gewährleisten soll. Dieses "No Execute" Flag (NX) wird von einigen aktuellen Prozessoren benutzt.
  • Markierung von heruntergeladenen Dateien und Anhängen auf NTFS-Laufwerken (Attachment Execution Service).
  • Die Benutzung von Raw-Sockets und die direkte Manipulation von IP-Paketen wurden deutlich eingeschränkt, Denial-of-Service Vorkehrungen sind in den TCP/IP Stack integriert.
  • USB-Schreibschutz wurde implementiert, so dass mit einer geeigneten Konfiguration nur lesender Zugriff auf USB-Speichergeräte wie USB-Sticks und USB-Platten möglich ist (so wird ein unberechtigter Datenexport auf USB-Medien verhindert).

Die Konfiguration neuer Einstellungen und insbesondere Gruppenrichtlinieneinstellungen muss im Vorfeld der SP2-Installation festgelegt werden. Änderungen in Gruppenrichtlinien können weitreichende Auswirkungen in Unternehmen und Behörden mit Windows XP Clients haben und müssen daher von Administratoren unbedingt sorgfältig durchgeführt werden.

Problemen vorbeugen

Aufgrund der umfangreichen Veränderungen besteht insbesondere bei größeren Installationen in Unternehmen oder Behörden die Gefahr, dass die Installation des Service Packs 2 zu Problemen führen kann. Dies ist besonders dann kritisch, wenn Anwendungen nicht mehr lauffähig sind oder Firewall- und Antivirus-Programme betroffen werden. Um diese Probleme zu vermeiden, muss die Einführung von SP2 genauestens geplant und zunächst ausgiebig getestet werden. Vor allem die Funktionsfähigkeit der Anwendungssoftware muss im Vorfeld überprüft werden.

Folgende Probleme können durch die Installation von Service Pack 2 verursacht werden:

  • Probleme bei der Verwaltung der GPOs mit alten Werkzeugen, da neue administrative Vorlagen lange Zeichenketten enthalten
  • MMC Snap-In Gruppenrichtlinienergebnissatz funktioniert bei Remote-Anfragen nicht mehr aufgrund der standardmäßig nach der Installation aktivierten Firewall
  • Probleme bei DCOM-Anwendungen, da ein neues DCOM-Authentisierungsmodell eingeführt wurde (z. B. bei Delegation von Gruppenrichtlinienergebnissatz-Aufgaben an nicht-administrative Benutzer)
  • Anwendungsprobleme aufgrund der standardmäßig aktivierten Firewall
  • Anwendungsprobleme aufgrund der Änderungen am TCP/IP-Stack (Einschränkung der Benutzung von Raw-Sockets)
  • Skript- und ActiveX-Fehlermeldungen, Bilddarstellungsprobleme beim Öffnen gespeicherter Web-Seiten in Anwendungen (unter anderem auch in Microsoft Office Produkten)
  • Zusatzsoftware wird automatisch mit installiert (Windows Movie Maker). Diese muss unter Umständen wieder entfernt werden.

Zu den genannten Problemen gibt es mittlerweile im Internet und Fachzeitschriften eine Vielzahl von Lösungsvorschlägen, über die sich die Administratoren vor dem Aufspielen von SP 2 informieren sollten.

Prüffragen:

  • Wird die Konfiguration neuer Einstellungen und der Gruppenrichtlinien im Vorfeld der Windows XP SP 2-Installation festgelegt?

  • Wird jede neue Konfiguration vor dem Roll-out getestet?

Stand: 13. EL Stand 2013