|
Eisenblut
offline
OC God
21 Jahre dabei !
|
     
Fangen wir mit dem DL an. Das sogenannte Netzwerk- und Administrationspaket gibt es hier. Es ist 265MB groß und kann in eine CD integriert werden, sowie mit einem Software Update Server auch über das Intranet verteilt werden. Eine etwas 100MB große Fassung wird es als Endbenutzerversion über Windowsupdate geben, diese kann aber nicht wiederverwendet und muss jeweils neu heruntergeladen werden. Es gibt noch eine über 400MB große Ausgabe, die auch als CD versendet wird und hier bestellt werden kann. Dort sind hauptsächlich für Entwickler wichtige Tools dabei, der Download ist über MSDN möglich. Zuletzt ist mir noch eine Version mit 300MB bekannt, die zusätzliche Debug-Infos für Admins raus wirft, die Verteilung, Installation und Funktion testen müssen. Definitiv alles nichts für Heimanwender.
Die Enduserversion ist da!!! Auf Windowsupdate gehen und das Update bestätigen. Es werden ungefähr 100MB heruntergeladen, je nach dem Patchstand des Systems.
Weiter gibt es zusätzliche Tools, mit denen verschiedenste Aufgaben automatisiert werden können, wie z.B. die Erstellung einer Antwortdatei für die unattended Installation.
Wer noch Bootdisketten benötigt, bekommt sie hier für die Pro oder die Home.
Das waren erst einmal die mir bekannten Downloads für das SP2. Die "alten" Powertoys funktionieren übrigens weiterhin und können hier gezogen werden.
Bei den meisten Zeitschriften wird in den nächsten Ausgaben das SP2 auf CD beiliegen, wer den DL scheut, sollte sich also die September- und Oktoberausgaben am Kiosk ansehen.
Seit dem 25.8. kann eine CD direkt bei Microsoft mit dem SP2 bestellt werden. Sie soll die gleiche Version beinhalten, die auch die MSDN-Abonnenten herunterladen können.
Seit dem 3.9. gibt es einige Zeitschriften wie z.B. die c't mit der CD. Nur die Chip mit dem Angebot des "SP3" sollte man sich nicht deshalb kaufen, da ist noch nicht einmal SP2 dabei.
(Geändert von Eisenblut um 13:04 am Sep. 4, 2004)
With all due respect Sir, but...
|
Beiträge gesamt: 3756 | Durchschnitt: 0 Postings pro Tag
Registrierung: Okt. 2002 | Dabei seit: 7873 Tagen | Erstellt: 11:25 am 13. Aug. 2004
|
|
Eisenblut
offline
OC God
21 Jahre dabei !
|
Nützliche Adressen zum SP2 gibt es eine Menge. Ich fange mal bei MS selber an.
Microsoft Windows XP SP2 Support Center
MS hat eine Seite bereitgestellt über die AV-Produkte, die mit dem Sicherheitscenter zusammenarbeiten:
Computer Associates - eTrust EZ Antivirus
F-Secure Corporation - F-Secure Anti-Virus 2004
McAfee Security - McAfee virusscan
Panda Software - Panda Antivirus Platinum 7.0
Symantec - Norton AV 2004
Trend Micro - PC-cillin Internet Security
Antivir PE wird vom Center korrekt erkannt und eingebunden, obwohl es nicht auf der Webseite von MS steht. Kaspersky 5.0.149.4 dagegen nicht.
Die anderen AV-Programme funktionieren natürlich, können aber nicht über das Center verwaltet werden.
Für Administratoren interessant:
Windows XP SP2 Blocker Tools, damit kann die Installation des SP2 bis Dezember unterbunden werden, andere Patches werden aber über Autoupdate weiter eingespielt. Es gibt dazu eine ganze Seite im Technet.
Group Policy Settings Reference, wem ich es erklären muss, der braucht es nicht 
Die 10 wichtigsten Gründe, das SP2 zu installieren, aus Adminsicht.
Der Baseline Security Analyser 1.2.1 untersucht, ob noch Sicherheitslücken zu patchen sind, dafür muss er sich aber eine aktuelle Signaturdatei von MS herunterladen.
Wer wissen will, welche Änderungen aus den regelmässig erscheinden Patches in das SP2 eingeflossen sind, für den gibt es ein Changelog.
Microsoft bietet ein Tool an, das einen Migrationsleitfaden für die verwendeten Applikationen bieten soll.
Links von anderen Seiten.
Anleitungen, wie man das SP2 in eine Boot-CD integriert, gibt es viele, z.B. von
Computerbase, WinFuture,
HardTecs4U und einen auf Englisch von Neowin.net. WinFuture hat ein Programm veröffentlicht, das die Integration des SP2 übernimmt. Zusätzlich kann man einige Dateien patchen und die Seriennummer integrieren.
Kommentar zum SP2 von Heise Security
Erfahrungsberichte zum SP2. Englisch.
MSFN's official unattended SP2-Guide als PDF und HTML.
Eine Übersicht über die Neuerungen bei MCP Mag.
Eine kurze Zusammenfassung der Erfahrungen der Nutzer beim Rollout des SP2 gibt es beim Internet Storm Center, wichtig dabei der Schlusssatz. "This service pack is a significant security improvement. We highly recommend that you install it as soon as possible. "
Eine aufwändige und umfangreiche Betrachtung gibt es im Forum des 3D Centers
Und endlich wurde SP2 gebencht, Spiele sind schneller
Noch eine gute Sammelseite zum SP gibt es bei PC-Experience
(Geändert von Eisenblut um 2:29 am Sep. 13, 2004)
With all due respect Sir, but...
|
Beiträge gesamt: 3756 | Durchschnitt: 0 Postings pro Tag
Registrierung: Okt. 2002 | Dabei seit: 7873 Tagen | Erstellt: 11:50 am 13. Aug. 2004
|
|
Eisenblut
offline
OC God
21 Jahre dabei !
|
Das Problem der halboffenen Verbindungen
TCP/IP eröffnet eine Verbindung mit einem sogenannten Three Way Handshake, es müssen also drei IP-Pakete versendet werden, damit ein Kontakt aufgebaut wird und die eigentlichen Daten dran sind. Der Frager schickt ein Paket an den Empfänger und wartet auf Antwort. Der Empfänger bestätigt mit einem anderen Paket, der Frager quittiert dies ebenfalls und sendet gleich Daten hinterher. Solange der Empfänger nicht antwortet, nennt man die Verbindung halboffen.
Bisher war die Anzahl der halboffenen Verbindungen fast nicht limitiert und lag bei 16777214. Das haben auch Würmer wie Sasser genutzt und massenhaft Anfragen ins Internet geschickt, ohne auf Bestätigung zu warten. Um diese Art von Verbreitung einzuschränken, hat MS diese Zahl jetzt aber massiv beschnitten. Nun sind nur noch zehn dieser Verbindungen gleichzeitig erlaubt, weitere werden in eine Warteschlange gestellt und erst abgearbeitet, wenn die anderen Anfragen wieder unter zehn gefallen sind. Dieses Verhalten stellt auch kein Problem dar, da es fast keine Anwendung ausser Würmern gibt, die eine größere Zahl dieser Art von Verbindungen benötigt.
Wenn es nicht doch eine gewünschte Anwendung geben würde, die damit Probleme bekommen kann, würde ich natürlich nicht diese Zeilen schreiben... Problematisch ist die Zahl für P2P wie eMule, BitTorrent oder Kazaa. Da werden oft viele tausend Quellen gehalten, zudem sind die Antwortzeiten recht lang, sodaß dort auch einmal mehr als zehn halboffene Verbindungen entstehen können. Dies ist aber nur für die Quellensuche von Belang, nicht für den eigentlichen Download. Aber gerade wenn man neben einer gut verteilten Software mit vielen Quellen noch Downloads mit nur einer Quelle hat, kann dies eventuell zu Problemen bei den seltenen Dateien führen.
Es gibt mittlerweile einen Patch dafür, der die Beschränkung in der Datei TCPIP.SYS aufhebt. Es gibt zwar Behauptungen, dass man mit einem Registryeingriff dies ebenfalls erreichen könnte, das ist aber definitiv falsch. Man kann ihn hier runterladen. Die Software kann den Patch automatisch durchführen, es ist aber auch eine Anleitung dabei, wie man das mit einem Hex-Editor manuell macht. Ohne Parameter werden 50 gleichzeitig offene Verbindungen erlaubt, was ein guter Startwert ist. Man sollte dies so lassen und dann einige Downloads starten, die viele Quellen versprechen. Danach unter Systemsteuerung - Verwaltung - Ereignisanzeige - System nachsehen, ob dieser Event protokolliert wird.
Code<<EventID 4226: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde>> |
Wenn ja, das Limit um weitere 10 erhöhen. Nach jeder Änderung muss rebootet werden. Nach meinem Test reichen aber für eine DSL-Leitung mit 128kb/s Upload die 50 aus.
Man kann die gepatchte Datei auch gleich in eine Windows XP SP2-Boot CD integrieren, wie in den Slipstream-Anleitungen oben beschrieben. Dazu eine TCPIP.SYS patchen und mit WinAce oder der Freeware Cabpack ins windowseigene Format CAB packen. Danach in tcpip.sy_ umbenennen und in den I386-Ordner der Windows-CD kopieren. Die ungepatche tcpip.sy_ sollte man aber sichern, für den Fall, dass man die Datei einmal für ein Update von Windows benötigen sollte. Dies geht auch mit anderen gepatchten Dateien. Wenn man noch keine ausgepackte TCPIP.SYS hat, kann man dies mit EXPAND.EXE aus dem I386-Verzeichnis erledigen.
L2TP, NAT und ein Problem im VPN-Netzwerk
Eine weitere Designänderung, die Probleme aufwerfen kann, ist das Konnektieren von einem L2TP-Client mit einem VPN-Server, der mit NAT arbeitet. Es ist zwar ungewöhnlich, einen VPN-Server mit NAT auf eine andere IP zu schaufeln, kommt aber vor. Bei einem Client mit XP SP2 funktioniert dies jedoch aus Sicherheitserwägungen nicht mehr. Wer seinem VPN-Server jedoch keine eigene IP nach aussen verpassen will, der kann einen Registryeintrag in die Clientrechner pushen, der das alte Verfahren wieder erlaubt. Dazu muss er folgenden Key erzeugen:
Code[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule "=dword:00000002 |
Standard von SP2 ist 0, 1 erlaubt es nur einem Client ohne eine NAT-Adresse sich zu verbinden.
Das erste wichtige Update für alle Intel PIV mit C0-Stepping:
Service Pack 2 für XP: Vorsicht bei PCs mit Intels neuesten Pentium-4-CPUs
(Geändert von Eisenblut um 23:08 am Sep. 16, 2004)
With all due respect Sir, but...
|
Beiträge gesamt: 3756 | Durchschnitt: 0 Postings pro Tag
Registrierung: Okt. 2002 | Dabei seit: 7873 Tagen | Erstellt: 12:44 am 13. Aug. 2004
|
|
Eisenblut
offline
OC God
21 Jahre dabei !
|
Probleme mit andere Software
Updates für andere Software, um die Funktion unter SP2 zu verbessern oder wiederherzustellen, wird es sicherlich in den nächsten Wochen öfter geben.
Bekannt ist mir bisher Symantec, die für ihre Personal Firewall und den Antivirus Updates bereitgestellt haben. Beide Updates können über LiveUpdate eingespielt werden. Damit kann das Sicherheitscenter den Status beider Produkte ermitteln.
Probleme scheint es mit Downloadmanagern zu geben, Flashget 1.60a schmiert trotz Neuinstallation ab, Flashget 1.65 Beta 1 geht aber.
GetRight 5.2 soll auch Probleme machen, Netpumper 1.10 ist ok, von anderen habe ich noch nichts gelesen.
Style XP 1.0, das von der PC Games Hardware gepuscht wird, braucht ein Update, Anleitung bei PCGH.
Das Mainboard des "Deutschland-PCs" von Fujitsu-Siemens braucht vor dem Update auf SP2 ein BIOS-Update.
Die McAfee-Programme wie Virusscan, Personal Firewall, etc., sind auch an SP2 angepasst worden.
Alle aktuellen Ausgaben von ZoneAlarm 5.x laufen mit dem Sicherheitscenter, Besitzer von 4.x sollten aktualisieren.
Selbst Nero Burning ROM benötigt ein Update auf 6.3.1.20, um reibungslos unter SP2 zu funktionieren, aus den Release Notes:
Nero Burning ROM / Nero Express:
Das Windows XP SP2 Kompatibilitätsproblem wurde gelöst. (...)
Nero StartSmart:
Ein Windows XP SP2 Kompatibilitätsproblem ist gelöst.
Eine Liste von problematischen Applikationen hat MS herausgegeben. Es gibt auch eine Anleitung mit Tipps, wie man störrische Programme doch noch ans Laufen bringen kann.
Nun ist auch F-Secure mit Updates herausgekommen.
XP-Antispy 3.91 kann einige weitere Funktionen des SP2 beeinflussen:
Eine Möglichkeit zum patchen der tcpip.sys um das Verbindungslimit zu erhöhen findet sich unter spezial->Verbindungslimit
Die Möglichkeit zum abstellen der Fehlerberichterstattung von Office 2003 wurde eingebaut.
Microsoft hat eine aktualisierte Version des Microsoft .NET Framework 1.1 Service Pack 1 herausgegeben, die zwar nicht nötig ist für das XP SP2, es aber ergänzt.
ICQ Lite 4.12 Build 1836 ist jetzt komplett SP2-kompatibel.
MS hat eine neue Version der Windows XP Remote Desktop Connection Software verföffentlicht, mit der man den Remote Desktop eines XP auch mit einem Windows 95, Windows 98 and 98 Second Edition, Windows Me, Windows NT 4.0 oder Windows 2000 steuern kann.
Mit dem Update auf 5.2.1 ist DivX komplett kompatibel zum SP2 geworden. Direkter Download:
DivX Pro 5.2.1, DivX Pro 5.2.1 6 Monate Testversion, DivX 5.2.1 Free. Die Pro benötigt eine Seriennummer, die Lizenz kostet 19,95$.
(Geändert von Eisenblut um 14:13 am Sep. 9, 2004)
With all due respect Sir, but...
|
Beiträge gesamt: 3756 | Durchschnitt: 0 Postings pro Tag
Registrierung: Okt. 2002 | Dabei seit: 7873 Tagen | Erstellt: 13:32 am 13. Aug. 2004
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Hab emu.. erst seit gestern wieder neu drauf und auch 500 "halboffenen Verbindungen" reichen nicht (Ereignisprotokoll). 
