Bundesamt für Sicherheit in der Informationstechnik

M 2.443 Einführung von Windows Vista SP1

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

SP1 steht für Service Pack 1 und ist eine Zusammenstellung von Software-Korrekturen und -Ergänzungen für das Betriebssystem Windows Vista von Microsoft. Das SP1 gibt es für die 32-Bit-Version (x86) und die 64-Bit-Version (x64) von Windows Vista.

Microsoft unterstützt für den Bezug des SP1 die Vertriebswege Stand-alone-Package, Windows Update und Integrated DVD. Die nachfolgende Tabelle nennt zu jedem dieser Vertriebsweg wichtige Eigenschaften.

Vertriebsweg
Eigenschaften
Standalone Package
  • Erfordert keinen Internet-Zugang des Windows Vista Clients auf dem das SP1 eingespielt werden soll.
  • Ein einmal bezogenes Standalone Package kann etwa über ein Programm zur Software Verteilung auf mehreren Windows Vista Clients eingespielt werden.
  • Die Größe des Service Pack 1 RC variiert zwischen 400 MB und 900 MB, je nach dem, wie viele Sprachen unterstützt werden und ob die 32-Bit Version (x86) oder die 64-Bit Version (x64) gewählt wurde.
Windows Update
  • Erfordert für die Verbindung zu den entsprechenden Update-Servern von Microsoft einen Internet-Zugang des Windows Vista Clients, auf den das SP1 eingespielt werden soll.
  • Mit etwa 65 MB wesentlicher kleiner als ein Standalone Package.
Integrated DVD
  • Beinhaltet das Betriebssystem Windows Vista auf dem Stand des SP1.
  • Für die Installation von Windows Vista in Verbindung mit SP1.
  • Im Anschluss an die Installation muss Windows Vista innerhalb von 30 Tagen aktiviert werden.

Tabelle: Vertriebswege von Windows Vista SP1

Um das SP1 zu beziehen, ist die damit verbundene Netzauslastung für das LAN der Organisation zu berücksichtigen. Die Netzauslastung ergibt sich aus der Größe des SP1 und der Anzahl der Windows Vista Clients, die zeitgleich das SP1 beziehen.

Bevor das SP1 auf einem Windows Vista Produktivsystemen zum Einsatz kommt, muss das SP1 in einer Testumgebung auf mögliche Inkompatibilitäten getestet werden.

Des Weiteren muss vor der Installation des SP1 auf einem Windows Vista Client sichergestellt werden, dass der dafür notwendige Festplattenplatz vorhanden ist. Der benötigte Festplattenplatz hängt von einer Vielzahl von Faktoren ab. Zu diesen zählen beispielsweise der Vertriebsweg des SP1 auf dem Windows Vista Client sowie die Anzahl der zu unterstützenden Sprachen. Die Installationsroutine des SP1 ermittelt die präzisen Werte zum notwendigen Festplattenplatz. Zur Orientierung nennt Microsoft 4,5 GB im Fall eines Stand-alone-Package mit fünf unterstützten Sprachen für die 32-Bit-Version (x86). Im Bedarfsfall müssen vor einer Installation des SP1 genaue Angaben zum erforderlichen Festplattenplatz von Microsoft erfragt werden.

Vor der Installation des SP1 auf einem Windows Vista Client muss sichergestellt werden, dass zuvor die notwendigen Windows Vista Updates eingespielt worden sind. Dies sind laut Microsoft Knowledge Base Artikel 935509 das Update 935509 zu BitLocker, das Update 938371 zur Installation/Deinstallation des SP1 und das Update 937287 zur Windows Vista Installations-Software (Stand Frühjahr 2008).

Das Service Pack 1 verfügt neben Fehlerkorrekturen und Verbesserungen an vorhandenen Mechanismen auch über einige sicherheitsrelevante Änderungen oder Erweiterungen enthalten. Zu diesen zählen beispielsweise:

  • Warnmeldungen anstatt des bisher drohenden RFM (Modus mit reduzierter Funktionalität, Reduced Functionality Mode), wenn gegen bestimmte Vorgaben im Zusammenhang der Aktivierung einer Windows Vista Lizenz tatsächlich oder vermeintlich verstoßen worden ist (siehe M 4.336 Aktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag und M 4.343 Reaktivierung von Windows-Systemen ab Vista bzw. Server 2008 aus einem Volumenlizenzvertrag ).
  • EFS -verschlüsselte Dateien können mit dem Tool zur "Datensicherung und Wiederherstellung" gesichert werden. (siehe M 6.78 Datensicherung unter Windows Clients ).
  • API s (Application Programming Interfaces) bieten verbesserte Möglichkeiten, Antivirensoftware von Drittanbietern in einer 64-Bit Umgebung neben der Kernel Patch Protection zu nutzen.
  • Es wird eine Multifaktor Authentifizierung durch einen USB-Stick und einer PIN für BitLocker bei der Nutzung des TPM (Trusted Platform Module) unterstützt.
  • Die Verschlüsselung weiterer Partitionen durch BitLocker (siehe M 4.337 Einsatz von BitLocker Drive Encryption ) ist möglich.
  • SHA-256, AES -GCM und AES-GMAC für ESP ESP (Encapsulating Security Payload) und AH (Authentication Header), ECDSA, SHA-256 und SHA-384 für Internet Key Exchange (IKE) und AuthIP werden unterstützt.
  • Der NIST SP 800-90 Elliptical Curve Cryptography ( ECC ) Pseudozufallszahlengenerator (pseudo-random number generator = PRNG) steht bei der Auswahl der verfügbaren PRNG zur Verfügung.

Prüffragen:

  • Ist festgelegt, welche Version des Service Pack 1 benötigt wird?

  • Wurde das Service Pack 1 in einer Testumgebung auf mögliche Inkompatibilitäten getestet, bevor es in einer Produktivumgebung installiert worden ist?

  • Steht genügend Bandbreite für den Bezug des Service Pack 1 über das Internet und die Installation des Service Pack 1 im LAN der Organisation zur Verfügung?

  • Steht auf dem jeweiligen Windows Vista Client genügend Festplattenplatz für das Service Pack 1 zur Verfügung?

  • Sind auf dem Windows Vista Client die notwendigen Updates gemäß dem Microsoft Knowledge Base Artikel 935509 vor der Service Pack 1 Installation installiert worden?

Stand: 11. EL Stand 2009