I denne guiden fokuserer vi på endringene som innføres i Windows XP Service Pack 2 (SP2) i tillegg til å gi gode tips for nettverksadministratorer som skal rulle ut SP2 i sitt nettverk.
Jeg vil gå gjennom de viktigste detaljene rundt de teknologiene som har fått de største endringene som remote procedure calls (RPC), DCOM, Windows Firewall (tidligere Internet Connection Firewall) og forhindre kjøring av ulovlig kode.
Med en oppdatering som er på hele 266 MB så betyr det at de aller fleste kjørbare filer og biblioteker i operativsystemet byttes ut med ny og sikrere kode. Om du ikke har lastet ned SP2 ennå så er det bare å sette i gang. Dog gjelder dette for engelsk utgave. Norsk utgave kommer som regel rundt en måned senere.
Last ned Windows XP Service Pack 2, Engelsk utgave (266 MB).
Hva er nytt i SP2
SP2 er en fullstendig sikkerhetsorientert oppdatering av Windows XP som inkluderer alle feilrettinger og sikkerhetsoppdateringer siden lanseringen av Windows XP i tillegg til en rekke nye sikkerhetsfunksjoner. Microsofts mål med SP2 er å gi proaktiv beskyttelse til Windows XP.
Bill Gates har selv uttalt: “Service Pack 2 er et betydelig steg mot å levere vår målsetting i å hjelpe kunder å gjøre sine PCer bedre isolert og mer motstandsdyktig mot den stadig økende mengden med finurlige angrep. SP2 reflekterer også en erkjennelse av at sikkerhetsmiljøer endrer seg og at industrien må arbeide sammen for å respondere på dette”.
Følgende teknologier er oppdatert eller føyd til i SP2:
- Nettverksbeskyttelse: Disse sikkerhetsteknologiene gir deg bedre beskyttelse mot nettverksbaserte angrep som MSBlaster gjennom en forbedret brannmur (Windows Firewall) og en redusert RPC-angrepsflate. Som standard vil nå Windows Firewall være slått på hvorav porter vil være stengt når de ikke er i bruk. Den har også fått et bedre grensesnitt for konfigurasjon samt forbedret støtte for administrasjon via Group Policy i bedriftsmiljøer.
Angrepsflaten i Remote Procedure Call (RPC) tjenesten er redusert, noe som kan føre til at spesielle applikasjoner slutter å fungere. Dette betyr at du bør teste ut SP2 nøye før du ruller den ut i stor skala i din bedrift.
Bluetooth er endelig fullstendig anerkjent i Windows XP med full støtte for denne teknologien. Hvis din maskinvare har bluetooth-støtte og du har en bluetooth-enhet slått på vil du kunne få informasjon og konfigurasjonsmuligheter via et ikon i system tray. Trådløs nettverksstøtte (WLAN) er også forbedret for å gjøre din trådløse hverdag enklere.
En forbedret konfigurasjonsmulighet og oversikt i den nye Windows Firewall samt bedre og sikrere funksjonalitet. - Minnebeskyttelse: Noen angrep fra ondsinnet programvare utnytter sårbarheter som lar for mye data bli kopiert inn i minnet på maskinen. Slike angrep er typisk kjent som buffer overruns. Selv om det ikke finnes en enkel teknikk for fullstendig å eliminere denne typen sårbarhet så har Microsoft fått på plass en rekke sikkerhetsteknologier for å begrense disse angrepene fra ulike vinkler. De viktigste komponentene i Windows er rekompliert for bedre sikkerhet. I tillegg vil de ta i bruk ny teknologi (data execution prevention – DEP) som er innebygd i AMD-64 prosessorer og Intels kommende Pentium 4 og Xeon prosessorer. DEP benytter prosessorens funksjon til å markere alle minnelokasjoner hos en applikasjon som ikke-kjørbar såfremt ikke lokasjonen spesifikt inneholder kjørbar kode. På denne måten vil en angripende orm eller et virus som føyer til sin kode i deler av minnet som er markert kun som data, ikke bli kjørt i Windows.
- Tryggere e-posthåndtering: For å stoppe virus som sprer seg via e-post og øyeblikksmeldinger så har standardinnstillinger i SP2 økt sikkerhet og bedre kontroll på vedlegg. Det gir deg en tryggere hverdag i Microsoft Outlook, Outlook Express og Windows Messenger.
- Forbedret sikkerhet i Internet Explorer: En svært så utsatt applikasjon i Windows er Internet Explorer. Denne er endelig blitt oppdatert for å begrense muligheten til å kjøre ondsinnede scripts og skadelige nedlastinger. Brukergrensesnittet er forbedret slik at man kan justere internettsonene bedre, forhindre skadelige ActiveX-kontroller og stoppe spyware fra å installere seg usynlig i bakgrunnen. En hendig popup-blokkerer er også føyd til, noe som ironisk nok vil stoppe popup-reklamen på Microsoft sin egen MSN.no.
Endelig en integrert popup-blokkerer i Internet Explorer. Dette burde omsider bety døden for popup-annonsørene. - Forbedret vedlikeholdsfunksjoner: En viktig del av en hvilken som helst sikkerhetsplan er å holde maskinene oppdatert med de siste programvare- og sikkerhetsoppdateringer som er tilgjengelig. Dette er gjort langt enklere via Security Center som gir deg et sentralt sted for informasjon om sikkerheten på din maskin. Windows Installer-tjenesten er også oppdatert for å gi flere sikkerhetsmuligheter ved installasjoner. I tillegg er Windows Update versjon 5 laget for å gi Windows XP et bedre grensesnitt og en veiviser for å velge og installere alle kritiske oppdateringer.
Det nye Security Center gir deg ett sted å konfigurere din sikkerhet på.
Videre følger det også med siste utgave av DirectX 9.0a samt Windows Media Player 9. Sistnevnte er vel som salt i såret for EU som nylig dømte Microsoft skyldig i å integrere Windows Media Player i operativsystemet.
Sikkerhetsforbedringene her er det neste steget i Microsofts Trustworthy Computing-initiativ for å kunne beholde sine kunder og gjøre systemene mer motstandsdyktig mot ondsinnede angrep. Selv om en rekke endringer i SP2 kan gjøre at applikasjoner i din bedrift slutter å fungere, bør det være en høyt prioritert oppgave å få oppdateringen installert på samtlige klienter så raskt som mulig. Som nevnt i dagens leder så må all sikkerhet ned på hver eneste klient og server for å kunne ha et motstandsdyktig nettverk.
For nettverksadministratorer
Installasjon av SP2 i et bedriftsnettverk
For IT-personell så er det spesielle hensyn som må tas for å kunne installere SP2 automatisert eller tilpasset eksisterende utrullingsmetoder om det gjelder unattended installasjoner, Remote Installation Services (RIS) eller andre metoder for utrulling.
For komplett informasjon om dette emnet, se guiden Installing and Deploying Service Pack 2.
Hvordan integrere SP2 i et Windows XP-installasjonsområde
Ofte kjører man installasjonen av Windows XP fra et delt område på en server i nettverket. For å få SP2 til å være integrert med kildefilene for Windows XP (populært kalt slipstream-installasjon) så er det noen enkle grep du kan gjøre. På denne måten blir klienter installert med Windows XP ferdig installert med SP2 og er sikret umiddelbart etter installasjonen.
Gjør følgende for å lage en slipstream-installasjon:
- Last ned SP2 og pakk filene ut på disken med følgende kommando:
C:\\XPsp2.exe /X:C:\\Temp /UDette vil pakke ut SP2-filene i mappen C:\\Temp forutsatt at SP2 ligger på roten på stasjon C: med filnavnet XPsp2.exe.
- Skriv følgende for å oppdatere Windows XP installasjonsfilene som er lokalisert på nettverksstasjonen Z: i mappen WinXP (dette vil da tilsvare mappen i386 på Windows XP CDen):
C:\\Temp\\update\\update.exe /S:Z:\\WinXP
Du kan nå rulle ut Windows XP til flere maskiner fra det delte området. Installasjonsprogrammet vil nå installere operativsystemet med SP2 integrert.
Som et latmannsalternativ kan du laste ned og kjøre AutoStreamer som gjør alt dette for deg.
Et såkalt Next, Next, Finish-program som jeg liker å kalle det.
Last ned AutoStreamer 1.0 (299 KB).
Hvordan sette Firwall-innstillingene via Group Policy
Windows Firewall er standard slått på i SP2. Det er da viktig å kunne justere brannmuren slik at den virker som ønsket og i henhold til alle spesielle applikasjoner du måtte ha i ditt bedriftsnettverk.
Dette bildet viser deg de nye Windows Firewall Group Policy-innstillingene og hvor du finner de.
Følgende dokument viser deg hvordan du skal implementere Group Policy-innstillingene for denne nye brannmuren.
Se Deploying Windows Firewall Settings for Windows XP with SP2.
Ressurser
Last ned Windows XP Service Pack 2, Engelsk utgave (266 MB).
Mye nyttig informasjon i Release notes for Windows XP SP2.
Se mer informasjon om SP2 hos Microsoft TechNet.
En SP2-FAQ finner du hos SuperSite for Windows.
Se TechNet WebCast: Enterprise computing and Windows XP SP2.
Konklusjon
Så snart du føler deg komfortabel med at Windows XP SP2 ikke vil forårsake betydelige forstyrrelser for dine brukere eller at du har korrigert slike potensielle problemer, så bør du installere SP2 i hele din bedrift. Hjemmebrukere bør installere SP2 umiddelbart. Dette er en meget viktig oppgradering som vil forbedre sikkerheten i ditt nettverk.