TU Chemmnitz

Universitätsrechenzentrum
TU Chemnitz > URZ > Zeitung > Ausgabe 4/2004

Windows XP Service Pack 2 - Erfahrungen im URZ

Von Microsoft werden in regelmäßigen Abständen Patches und Service Packs zur Behebung von Sicherheitslücken und Fehlern im Windows-Betriebssystem herausgegeben. Seit August diesen Jahres wird die finale Version des Windows XP Sevice Pack 2 zum Download angeboten und zur Installation empfohlen.
An neuen Funktionen hat es den Windows Firewall, Pop-up Blocker für den Internet Explorer und das neue Windows Security Center sowie kumulativ alle zu Windows XP herausgegebenen Patches zum Inhalt.

Die Anwender von AFS sollten vor der Installation des SP2 die Version des genutzten AFS-Klienten ermitteln und die zur Zeit aktuellste Version (1.3.73) installieren. Diese Version bietet den Vorteil, dass sie auf die Belange des Windows-Firewall eingeht und die erforderlichen Ports automatisch öffnet.

Diese Information wird in der Hauptsache den Windows-Firewall betrachten:

Das Service Pack 2 (SP2) für Windows XP enthält wesentliche Änderungen in der Komponente "Windows Firewall", die bisher als "Internet Connection Firewall" (ICF) bezeichnet wurde. Realisiert wird der "Windows Firewall" durch den Dienst "Windows-Firewall/Gemeinsame Benutzung der Internetverbindung" (Dienstname SharedAccess).

Der Windows Firewall blockiert den unaufgefordert eingehenden Verkehr, es sei denn, er ist als erlaubt spezifiziert. Ausgehender Verkehr (außer einigen ICMP-Nachrichten) wird hingegen nicht blockiert und kann auch nicht blockiert werden! In Windows XP SP1 war der Firewall standardmäßig nicht aktiviert (disabled) und musste explizit aktiviert und konfiguriert werden. In Windows XP SP2 hingegen ist der Firewall für alle Verbindungen (LAN, Dial-Up und VPN) aktiviert und mit einer globalen Konfiguration versehen, die für alle Verbindungen Gültigkeit hat. Außerdem können für jede Verbindung unterschiedliche Einstellungen vorgenommen werden. Diese Einstellungen können nur von Administratoren (administrator-Recht) vorgenommen werden!

Zusätzlich gibt es einen neuen Modus, der bei aktiviertem Firewall alle Ausnahmen blockt. Das kann für Laptops genutzt werden, die über unterschiedliche Medien (Intranet - Modem) das Internet nutzen. Vor Windows XP SP2 war nach dem Starten des Rechners bis zum Starten des Firewall-Dienstes der Computer ungeschützt (obwohl der Firewall aktiviert war).

Mit SP2 kann auch festgelegt werden, von welchen Source-IP-Adressen unaufgeforderter Verkehr angenommen wird (alle IP-Adressen, lokales Subnetz, nutzerdefinierte Liste). Mit SP2 kann auch erwarteter Verkehr über den Programmnamen festgelegt werden. Das war vorher nur über die Konfiguration der entsprechenden Portnummern möglich, die man herausfinden musste.

In SP2 kann auch das Kommando netsh firewall zum Konfigurieren benutzt werden. Die entsprechenden Subkomanndos können zu einem Skript zusammengefasst und ausgeführt werden.
Über die Gruppenrichtlinien können die Firewalleinstellungen ebenfalls festgelegt werden. Dazu existiert ein Domain- und ein Standardprofile. In großen Netzwerken sind die Computer im allgemeinen durch einen separaten Firewall geschützt. Der lokale Windows-Firewall sollte trotzdem aktiviert sein, weil er vor solchen Rechnern schützt, die spezielle Verbindungen mit dem Internet benutzen und so eventuell Viren in das Netz hineintragen und damit den separaten Firewall unwirksam machen.

Die Windows-Firewall-Standardeinstellungen können Probleme verursachen bei der Nutzung u.a. folgender Komponenten:

Wie bisher kann eine Logdatei geschrieben werden. Der Name, der Speicherort und die maximale Größe dieser Datei kann angegeben werden. Man kann auswählen, ob nur verworfene Vebindungen oder auch erfolgreiche Verbindungen protokolliert werden sollen. Ein Protokollieren der eingehenden Pakete ist nicht möglich.

Beispiele für netsh-Kommandos zum Überprüfen der Konfiguration:

In der Antwortdatei für eine unbeaufsichtigte Installation gibt es neue Sektionen für den Windows Firewall, um die Konfiguration schon hier auf den gewollten Stand zu bringen:

Ein weiteres Verfahren zur Konfigurierung des Firewall besteht in der Verwendung der Datei Netfw.inf. Für Konfigurationsänderungen sind dabei folgende Sektionen von Bedeutung:

Die realisierten Firewall-Einstellungen finden sich alle in der Registry wieder, unter dem Schlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
Sie lassen sich unterteilen in:

Die Konfiguration lässt sich u.a. über START - Systemsteuerung - Windows Firewall oder über control firewall.cpl aufrufen. Wenn die Ausführung neu installierter Programme an Firewall-Regeln scheitert, werden manchmal von diesen Programmen Popup-Fenster ausgegeben, die auf blockierte Verbindungen hinweisen.

Hier ein Beispiel, wie der Firewall konfiguriert sein kann:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]

"C:\\Programme\\proeWildfire2.0\\i486_nt\\nms\\nmsd.exe"=
"C:\\Programme\\proeWildfire2.0\\i486_nt\\nms\\nmsd.exe:*:Enabled:nmsd"

"C:\\Programme\\proeWildfire2.0\\i486_nt\\obj\\xtop.exe"=
"C:\\Programme\\proeWildfire2.0\\i486_nt\\obj\\xtop.exe:*:Enabled:xtop"

"C:\\Programme\\proeWildfire2.0\\i486_nt\\obj\\pro_comm_msg.exe"=
"C:\\Programme\\proeWildfire2.0\\i486_nt\\obj\\pro_comm_msg.exe:*:Enabled:pro_comm_msg"

"C:\\Programme\\AnsysInc\\v81\\CommonFiles\\TCL\\bin\\intel\\wish.exe"=
"C:\\Programme\\AnsysInc\\v81\\CommonFiles\\TCL\\bin\\intel\\wish.exe:*:Enabled:ANSYS_wish"

"C:\\Programme\\AnsysInc\\v81\\Ansys\\bin\\intel\\ansys.exe"=
"C:\\Programme\\AnsysInc\\v81\\Ansys\\bin\\intel\\ansys.exe:*:Enabled:ANSYS_exe"

"\\\\afs\\all\\tu-chemnitz.de\\dept\\wxp\\sw\\maple_95\\bin.win\\mserver.exe"=
"\\\\afs\\all\\tu-chemnitz.de\\dept\\wxp\\sw\\maple_95\\bin.win\\mserver.exe:*:Enabled:MAPLE_mserver"

"\\\\afs\\all\\tu-chemnitz.de\\dept\\wxp\\sw\\maple_95\\jre\\bin\\java.exe"=
"\\\\afs\\all\\tu-chemnitz.de\\dept\\wxp\\sw\\maple_95\\jre\\bin\\java.exe:*:Enabled:MAPLE_java"

"C:\\Programme\\Symantec\\Ghost\\ngctw32.exe"= "C:\\Programme\\Symantec\\Ghost\\ngctw32.exe:134.109.0.0/255.255.0.0:Enabled:GhostClient"

"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\GloballyOpenPorts\List]

"3389:TCP"="3389:TCP:134.109.200.0/255.255.254.0:Enabled:@xpsp2res.dll,-22009"
"7001:UDP"="7001:UDP:*:Enabled:AFS CacheManager Callback (UDP)"
"7001:TCP"="7001:TCP:*:Enabled:AFS CacheManager Callback (TCP)"
"139:TCP"="139:TCP:134.109.0.0/255.255.0.0:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002"
"5900:TCP"="5900:TCP:134.109.176.0/255.255.254.0,134.109.200.0/255.255.254.0:Enabled:WinVNC"
"1346:UDP"="1346:UDP:134.109.200.0/255.255.254.0:Enabled:GhostConsole"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\IcmpSettings]

"AllowInboundEchoRequest"=dword:00000001


Empfehlungen seitens des URZ: siehe WWW-Veröffentlichung bzw. "Mitteilungen des URZ" 3/2004
Verweise/Links auf andere Informationsquellen: http://www.microsoft.com/windowsxp/sp2/topten.mspx


Karl-Heinz Arnold, Oktober 2004