Windows XP Service Pack 2 with Advanced Security Technologies Post-Installation konfiguration og Support
Generelle overvejelser ved postinstallation En række dele af Windows XP er relevant at forholde sig til ift. med SP2 og postinstallation Automatic Update OOBE og anden ‘adfærd’ Windows Firewall er som nævnt slået til pr. default Security Center adfærd og interaction med 3. parts applikationer Internet Explorer adfærd
Ændringer i Automatic Update
Automatic Updates …så hvad var det vi gjorde Hold systemer automatisk opdateret “Secure by default” designmål Delt klient infrastruktur med Windows Update Kontrolleres via policy Microsoft updates (Windows, Office, SQL, Exchange, etc.) Optimeringer af downloads Størrelse af opdateringer Synergi med Windows Update
Automatic Updates Opt-in System Tray Icon:
AutoUpdate: Scheduled Installerer automatisk og i silentmode opdateringer på valgte tidsunkt Giver bruger logget på besked om at reboote hvis det er nødvendigt Er maskinen slukket ved scheduleret tidspunkt, køres installationer ved opstart
Windows Update
Administrator abonnerer på kategorier Server downloader opdateringer fra Microsoft Update Klienter registerer sig med server Administrator angiver hvilke opdateringer til hvilke klienter Administrator godkender opdateringer Klienter installerer opdateringer godkendt af administrator Microsoft Update WUS Server Desktop klienter Gruppe 1 Server ‘klienter’ Gruppe 2 WUS Administrator Hvad er Windows Update Services?
Windows Update Services 2.0 Flyt Microsoft Update ind i huset Egenskaber Scanning af maskiner for patch status Dato-baseret deadline for godkendte opdateringer Forskellige opdateringer mod forskellige grupper Styring af polling og genstarts adfærd Non-administratorer kan installere opdateringer Install at Shutdown (kun XP SP2) Rapport muligheder Maskine/pr. update/pr. target group Download, install succes & fejl med information Content synchronization status reports Event log integration WUS understøtter Alle Microsoft produkter på sigt, men ved launch Windows 2000 SP3 og senere Office XP SP2 og Office 2003 SQL 2000 og MSDE 2000 Exchange 2003 Klientkrav: Win2000 SP3 og senere
Install at shutdown Som nævnt tidligere, muliggører at opdateringer installeres ved shutdown Kontrolleres via policy
Ændringer i Internet Explorer og effekt i Windows
Reducér angrebsoverfladen Hvordan overbeviser hackeren i dag brugere om det ‘fornuftige i at sige ja tak til at blive hacket’ Problemet er, at scriptede vinduer kan i dag forvirre brugeren
Reducér angrebsoverfladen …og hvordan ser samme forsøg så ud i XPSP2 Løsning er at sætte restriktioner på pop-up vinduer ved at begrænse til vinduesskærmens størrelse Kun pålagt IE og slået til pr. default Mindre restriktiv i Intranet Zone Status bar til pr. default for popup vinduer og standard i IE vinduer
Værktøjer der hjælper til en bedre online sikkerhed Pop-up Manager Problem Brugere kan ikke styre pop-ups på deres system Nogle exploits forvirrer brugeren med pop-ups og download dialogboks Løsning Blokering af scriptede pop-ups Kun pålagt i Internet Zone Kun pålagt IE – slået til pr. default Pop-up tillades ved brugerinitieret handling Evt. kompatibilitetsudbedring Styring af “OK-liste” med sites Slå feature fra Kompatibilitesissues Sites mod kunder bør ikke indeholde vital information via script initierede popups
Værktøjer der hjælper til en bedre online sikkerhed Add-on Mgmt and Crash Detection Problem Brugere har add-ons kørende I deres browser som de ikke ønsker Løsning “Manage Add-ons” kontrolpanelet tillader at slå ikke ønskede kontroller fra IE forsøger at bestemme hvilke add-ons der crashede og informerer bruger Udbedring Styr (evt.) adgang til manage add-ons control panel via policy
Ændringer i Windows Firewall og mulig effekt
Beskyttelse out-of-the-box Med XP SP2, skal Windows shippe med en firewall slået til Anvendes 3. parts firewall sæt Windows firewall drift til Off Sikkerhed under boot proces er stadig i drift Understøttelse af 3. parts firewalls; security Center definerer et Windows Management Instrumentation (WMI) schema Schema tillader 3. parts leverandører af firewall og AV software til at koble deres egne løsninger til Hvis Windows Firewall anvendes, så slå nødvendige applikationer til Exceptions list Kun applikationer der lytter på netværket skal listes
Windows Firewall Profiler og entrypoints Flere profiler for domain-joined PCer “Domain” når PC er på corporate netværk “Standard” når PC er på andet netværk Arbejdsgruppe PC’er kan kun anvende Standard profil Nye entry points til GUI konfiguration Task i Network Connections folder Link i Network og Internet Connections Control Panel Link i Windows Security Center
Windows Security Center og effekt i Windows
Windows Security Center UI System Tray Alert Windows Security Center Control Panel Anbefalet dialog
Anden praktisk information Førstegangsoplevelse Windows Security Center vises første gang en Admin logger på hvis det er en upgrade (SP1->SP2) OPK knap for at slå tray notification fra Tilføj Disablesecuritycenteralerts = ON i unattend.txt Domain vs. Non-domain Notification er slået fra for PC’er I domæner WMI provider specifikation Distributeret til MVI forum Bred gruppe af FW leverandører
Hvordan virker Windows Security Center Fangst af 3. parts AV og firewall software Legacy “Manual detection” via registry keys, filer, etc. Faciliteres af 3. parts leverandører. Fuld detection ‘Kun tilstede’ detection SP2 og frem WMI schema som nævnt. Integreres i 3. parts produkter. Tilgængelig fra leverandører via signatur, ny engine eller ny version
AV/FW produkter der fanges manuelt Nyere produkter er kommet til Firewall McAfeeFirewall NortonFirewall (kun tilstedeværelse) PandaFirewall TinyFirewall TrendFirewall WindowsFirewall ZoneLabsFirewall (kun tilstedevær.) Antivirus AhnlabAV (kun tilstedeværelse) ETrustAV KasperskyAV McAfeeAV NortonAV (kun tilstedeværelse) PandaAV SophosAV TrendAV