Sprungmarken

Heartbleed-Bug: Sicherheitsloch in der OpenSSL-Implentierung

10. April 2014

Ein Fehler in der weit verbreiteten OpenSSL-Bibliothek lässt das Auslesen von Arbeitsspeicher zu. Eine sichere Verschlüsselung ist dann nicht mehr gewährleistet. Der Fehler, der auch als “Heartbleed-Bug” bekannt wurde, betrifft zahlreiche verschlüsselte Serverdienste im Internet.
Weitere Informationen...

Die letzten Meldungen

Wartungsarbeiten mein campus / campo am 6. Mai 2014

17. April 2014

Aufgrund notwendiger Server- und Datenbankupdates sowie des Einspielens neuer Funktionalitäten stehen die Online-Portale “campo” und “mein campus“ am Dienstag, 06. Mai 2014 zwischen 14:00 und 18:00 Uhr nicht zur Verfügung.
Weiterlesen...

Heartbleed-Bug: RRZE gibt Entwarnung – zentrale Dienste sind kaum betroffen

16. April 2014

Der “Heartbleed-Bug”, über den das RRZE bereits am 10.04.2014 berichtet hat, ist eine Sicherheitslücke in den Versionen 1.0.1 bis 1.0.1f  einer Programmerweiterung der freien Software-Bibliothek OpenSSL. Insbesondere Web- und Mail-Server aber auch andere Dienste wie Virtual Private Networks (VPN) nutzen häufig diese Bibliothek für sogenannte Transport Layer Security (TLS)-Verbindungen, also Verschlüsselungsprotokolle zur sicheren Datenübertragung im Internet.
Weiterlesen...

20.000 persönliche @fau.de-E-Mail-Adressen

16. April 2014

Seit dieser Woche wurde die Marke von 20.000 persönlichen E-Mail-Adressen unter @fau.de geknackt. Da Studierende seit Mitte Februar eine @fau.de-Adresse reservieren können,  hat sich die Anzahl der @fau.de-Adressen universitätsweit verdoppelt. Knapp zwei Drittel der Studierenden haben lediglich noch eine alte Adresse, die Reservierung ist jedoch bis Ende November möglich.
Weiterlesen...

Meldungen nach Thema

 

Windows XP Servicepack 2

Am Montag, den 16. August 2004, hat Microsoft den Servicepack 2 für Windows XP zum automatischen Update freigegeben.

Für die Nutzer des FAUSUS wird die Freigabe zunächst verzögert, bis die Auswirkungen des Servicepacks besser bekannt sind. Die Sicherheit der Windows PCs ist durch das Verzögern der Freigabe am RRZE-SUS-Server jedoch nicht gefährdet, solange bisher alle Hotfixes vollständig und korrekt eingespielt wurden.

Bis zur Freigabe des XP Servicepack 2 an der FAU (Sonntag Abend 05.12.2004) werden wir alle uns gemeldeten Nebeneffekte sammeln und auf dieser Webseite veröffentlichen. So haben Sie die Möglichkeit, die genannten Probleme auf einem Referenzsystem ebenfalls nachzuprüfen und Ihre Systeme dann auf das Update dementsprechend vorzubereiten.

XP SP2 Firewall

Durch die Installation des XP SP2 wird die Firewall automatisch aktiviert!

Folgende Neuerungen zum bisherigen IP-Filter kommen mit der XP SP2 Firewall hinzu:

  1. Stateful Filtering
    TCP-Verbindungen vom PC zu einem Server können uneingeschränkt aufgebaut werden.
    Der Rückkanal wird nach erfolgreichem TCP-Handshake automatisch zugelassen.
    Listening-Ports am PC müssen explizit freigegeben werden.
    Eingehender Kommunikationsverkehr wird geblockt (u.a. Fernsteuersoftware, Zugriff auf RPC-Port, usw.).
  2. Boot Time Policy
    Bereits beim Starten des Netzwerkes während des Bootvorganges gelten fest einprogrammierte Filterregeln (Boot Time Policy), die jeglichen einkommenden Verkehr filtern, außer DHCP, DNS und AD (GPO).
    Erst wenn später während des Bootvorganges der Firewall-Dienst startet, wird die eingestellte Konfiguration aktiv (Run Time Policy).
  3. Globale Ausnahmen / Exceptions
    Um Listening-Ports freizuschalten, können Ausnahmen (Exceptions) konfiguriert werden, die für alle Netzwerkkarten gelten.
    Die Ausnahmen sind Freischaltungen einzelner Programme über den Programmpfad oder spezielle Ports. Die Freischaltung kann für einzelne IP-Adressen, das eigene lokale Subnetz oder frei definierbare Subnetzbereiche konfiguriert werden (Scope).

Für Subnetzbetreuer stehen vor dem Rollout folgende Aufgaben an:

  1. Tests
    Test der eingesetzten Anwendungen an einem Test-System mit XP SP2.
    Dazu wird ein Testrechner mit allen im Subnetz verwendeten Anwendungen aufgestellt und die XP SP2 Firewall aktiviert.
    Anschließend werden alle Programme unter Verwendung einer administrativen Kennung mindestens einmal aufgerufen, um festzustellen, welche Programme Ports für eine Netzwerkkommunikation öffnen.
    Mit diesem Test kann eine Liste der anzupassenden Anwendungen erstellt werden.
  2. Vorbereitende Konfiguration
    Die Konfiguration der Firewall befindet sich unterhalb des Registry-Keys
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy].
    Die Werte unterhalb dieses Schlüssels können vor dem Rollout des XP SP2 an allen zu aktualisierenden XP PCs importiert werden. Dies ist vor allem dann empfehlenswert, wenn Fernsteuerungssoftware eingesetzt wird, die nach dem Einspielen des XP SP2 ohne diese Vorbereitung nicht mehr funktionieren wird.
  3. Nachbereitende Konfiguration
    Die Konfiguration kann auch nachträglich am PC manuell über das Firewall-Konfigurationsprogramm in der Systemsteuerung (Control Panel) oder in Skripten mit Hilfe des Befehls
    netsh firewall ...
    eingerichtet werden.
  4. Anpassung bei Verwendung des RRZE Sicherheitskripts
    Falls das Dienste-Sicherheitsskript des RRZE angewandt wurde, wird die Firewall nicht mit der Run Time Policy starten, da die Konfiguration des Dienstes zu restriktiv ist.
    Um die Standardberechtigungen wieder herzustellen, muss der Schlüssel
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
    gelöscht werden.

Security Center

Das Security Center wurde in erster Linie für Heimanwender entwickelt, um den Zustand der sicherheitsrelevanten Dienste überprüfen zu können.
Da die Anzeige aber auch u.a. von Viren und Trojanern über Registry-Werte modifiziert werden kann, ist eine zuverlässige Aussage über den tatsächlichen Zustand der Dienste ohne einen genaueren Blick in das Systeminnere nicht machbar.
Des Weiteren wurde bereits beobachtet, dass der an der FAU eingesetzte Virenscanner Sophos während des Updates eine Warnmeldung auslöst, da der Dienst zu diesem Zeitpunkt kurzzeitig deaktiviert wird. Dies kann zur Verunsicherung der Benutzer beitragen.

Platzbedarf beim Einspielen des SP2

Das Rollout des XP SP2 über das automatische Windows Update oder über SUS (auch FAUSUS) erfordert ca. 1,5GB oder mehr freien Speicherplatz auf der Systempartition.
Siehe auch Externer Link:  Microsoft Knowledge Base Article - 837783: The hard disk space requirements for Windows XP Service Pack 2.

Was tun, wenn nicht genügend freier Festplattenspeicher zur Verfügung steht?

Einige Tipps für das Rollout des XP SP2 bei zu wenig freiem Festplattenplatz:

  1. Festplatte aufräumen.
  2. Neuinstallation des PC mit Slipstream CD (XP SP2 ist bereits integriert)
    Windows XP Installations-CDs mit bereits integriertem SP2 sind am RRZE erhältlich.
  3. Installation des entpackten Servicepacks (Netzlaufwerk oder CD) ohne Sicherung (Backup) der Systemdateien während der Installation.
    Hinweis: Bei diesem Verfahren ist die Installation des SP2 nicht mehr rückgängig zu machen. Machen Sie deshalb vor dem Einspielen des Servicepacks auf diese Weise auf jeden Fall eine Sicherung ihrer Daten (falls Sie im schlimmsten Fall den PC hinterher neu installieren müssen)!

    Entpacken des XP SP2 mittels Aufruf von der Kommandozeile:
    xpsp2.exe -x

    Scannen Sie ihre Installationsquelldateien des Servicepacks mit einem Virenscanner.
    Stoppen Sie vor dem manuellen Aufruf des Servicepacks den laufenden Virenscanner, um die Installationszeit zu verkürzen.

    Aufruf des entpackten XP SP2 ohne Sicherung der Systemdateien:
    ...\i386\update\update.exe -n

Empfehlungen für Notebooks

Installieren Sie den Servicepack manuell wie oben beschrieben. Verbinden Sie das Notebook währenddessen mit dem Netzteil, um einen Abbruch des Updates aufgrund leerer Akkus zu vermeiden.

Meldungen über Nebenwirkungen des Windows XP SP2

Microsoft pflegt eine Externer Link:  (In-)Kompatibilitätsliste mit Meldungen über Software, die nach dem Einspielen des Servicepacks 2 offensichtlich Probleme bereitet.
Auch dem RRZE wurden diverse Programme gemeldet, die wir hier auf dieser Seite sammeln und publizieren.

  • Endnote 8.0
    Zitat: "Endnote öffnet keine Dateien mehr nach Service Pack 2 für Win XP."

Foliensatz des Windows Campus Treffen am 20.10.2004

PDF: WinCampus-2004-10-21.pdf

zum Seitenanfang. zum Seitenanfang

Letzte Änderung: 13. Maerz 2012, Historie

zum Seitenanfang

Startseite | Kontakt | Impressum

RRZE - Regionales RechenZentrum Erlangen, Martensstraße 1, D-91058 Erlangen | Tel.: +49 9131 8527031 | Fax: +49 9131 302941

Inhaltenavigation

Zielgruppennavigation

  1. Studierende
  2. Beschäftigte
  3. Einrichtungen
  4. IT-Beauftragte
  5. Presse & Öffentlichkeit