Microsoft Windows XP Service Pack 2 中的功能变更
第 6 部分:计算机维护
本文档是“Microsoft® Windows® XP Service Pack 2 中的功能变更”的第 6 部分,它提供了有关 Windows XP Service Pack 2 中所包含的安全性技术的详细信息,这些技术有助于通知用户安全信息,并确保计算机具有最新的安全更新。这些技术要么是专为提供安全性而设计的,要么是为提供比以往更高的安全性而经过改进的。 本文档适用于 Microsoft Windows XP Service Pack 2 (SP2),该 Service Pack 面向 32 位版本的 Windows XP Professional 和 Windows XP Home Edition。本文档中没有描述包含在 Service Pack 中的所有功能变更,而是重点介绍了对使用 Windows XP SP2 最具影响的那些变更,并提供了其他可用的参考信息。 本页内容
添加或删除程序的筛选器添加或删除程序筛选器的作用是什么?用于“添加或删除程序”的筛选器提供了一种方式,使得用户能够选择是否在“当前安装的程序”列表中显示更新(例如,从 Microsoft 网站下载的安全更新)。 此功能适用于哪些用户对象?具有 Administrator 凭据的任何用户都可以在其本地计算机上使用“添加或删除程序”。虽然某些应用程序可以由管理员以外的用户安装或删除,但是大部分应用程序都要求管理凭据。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?将更新从“更改或删除程序”列表中筛选掉详细说明 “添加或删除程序”中的“更改或删除程序”列表显示用户可以更改或删除的已安装程序。此列表还显示 Windows 或已安装的其他程序的更新。 在 Windows XP Service Pack 2 (SP2) 中,用户能够选择在此视图中显示还是隐藏 Windows 和其他程序的更新。此列表的上方将出现一个新的“显示更新”复选框,用户可以借助该复选框在显示或隐藏已安装的更新之间切换。 为什么此更改非常重要? 软件供应商创建越来越多的软件更新,并以比以往更高的频率发布这些更新。这些频繁的更新有助于增强用户系统的可靠性和安全性。但是,如果在“添加或删除程序”的“更改或删除程序”列表中显示每一个更新,已安装的程序列表中将充斥着已安装的更新的名称。这一新的选项将更新从列表中筛选掉并只显示已安装的程序,从而使得此列表对于用户而言更易于查看。 哪些功能发生变化?是否存在任何依赖性? 默认情况下,“更改和删除程序”不显示已安装的 Windows 更新。要查看已安装的更新,可以选中列表顶部的“显示更新”复选框。 通过标记程序的更新,使其在适当的时候隐藏;任何程序都可以利用此功能。无论是否选择该筛选选项,在 Windows XP Service Pack 2 发布之前编写的 Windows 程序都会显示出来。 如何解决这些问题? 要关闭某一台计算机上的筛选功能,请执行下列步骤:
警告 注册表编辑不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据。 在企业环境中,可以通过创建组策略对象来修改控制筛选功能的注册表设置,以使控制面板中的“添加或删除程序”图标与在 Windows XP Service Pack 1 中的工作方式相同。 Windows XP Service Pack 2 中添加或更改了哪些设置?
是否需要更改代码才能使用 Windows XP Service Pack 2?程序不需要更改即可继续使用 Windows XP Service Pack 2 中的“添加或删除程序”。如果未将程序更改为使用新功能,它将继续像在 Service Pack 1 中一样工作。 通过标记程序的更新,使其在默认情况下不显示;程序可以使用新的筛选选项。有关如何将程序标记为更新的详细信息将在以后的 MSDN 中提供。 Microsoft Windows Update 服务和自动更新Windows Update 服务和自动更新的作用是什么Windows Update 服务(以前称为“软件更新服务”)使管理员可以简化并自动化在运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 Professional 的客户端计算机上,以及 Windows 2000 Server 和 Windows Server 2003 计算机上部署关键更新和安全更新的过程。 Windows Update 服务包含下列组件:
注意 本节余下的部分将介绍 Windows XP Service Pack 2 中的自动更新。 自动更新定期连接到 Internet 上的 Windows Update,或者连接到您公司网络中的 Windows Update 服务服务器。可以将自动更新配置为一旦发现了适用于计算机的新更新,就自动安装所有更新(首选方法),或者通知计算机的管理员或相应计算机(已配置为接收通知)的用户。在管理员选择了应下载的更新后,自动更新将下载并安装这些更新。 此功能适用于哪些用户对象?运行 Windows XP 和 Windows 2000 Server 及更高版本操作系统的计算机上的所有用户和管理员。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?支持应用程序和硬件驱动程序详细说明 最新版的自动更新为 Microsoft 产品(包括 Microsoft Office、Microsoft SQL Server 和 Microsoft Exchange)提供更多的支持。它还对已更新的硬件驱动程序的分发提供支持。 它有助于缓解哪些威胁? 过去,自动更新只能分发 Windows 操作系统的关键更新。此版本除了能够更新操作系统外,还能够更新应用程序和驱动程序。通过最新的安全修补程序使这些应用程序和驱动程序保持最新可以减小攻击面,以及减少所暴露的已知安全漏洞的数目。 哪些功能发生变化? 当管理员查看自动更新通知时,有更多更新的类型可供选择。 支持更多的更新类别详细说明 以前的自动更新版本只能分发和安装关键更新。此版本包含对以下类别的支持:
使用基于 Intranet 的 Windows Update 服务服务器的客户还可以使用其他类型的更新。有关更新类别(包括关键更新)的详细信息,请参阅 Windows Update 网站上的“About Windows Update”(关于 Windows Update),网址为 http://go.microsoft.com/fwlink/?linkid=17289。 为什么此更改非常重要? 自动更新增加了对更广泛的更新(尤其是安全更新)的支持,从而有助于确保使计算机既保持最新又足够安全的过程更可靠且更易于管理。 它有助于缓解哪些威胁? 过去,Microsoft 发布了许多推荐的更新,这些更新被认为不是关键更新,因此不自动安装。用户必须连接到 Windows Update 站点并手动安装这些更新。由于此过程是人工进行,因此用户可能未及时地安装更新,从而使其计算机受到攻击。此变更使得新的更新类别可以像关键更新一样自动安装。 哪些功能发生变化? 当管理员查看自动更新通知时,有更多更新的类型可供选择。 自动优先下载关键更新详细说明 自动更新现在能够在有多个具有不同优先级的更新需要下载时,设置更新的下载顺序。例如,如果在下载大型 Service Pack 的时候,一个解决漏洞问题的小型安全更新被发布,那么将在下载 Service Pack 之前先下载该安全更新。 为什么此更改非常重要? 这使得关键更新可以在其他更新之前安装。 它有助于缓解哪些威胁? 由于通过自动更新提供的更新范围已扩大,因此这个变更显得额外重要,因为它有助于降低高优先级更新在其他更新之后下载的可能性。 哪些功能发生变化? 一旦将某些更新确定为具有更高的优先级,会在其他更新之前下载。 客户端分配目标详细说明 通过将自动更新与 Windows Update 服务服务器结合起来使用,管理员可以使将客户端计算机分配到 Windows Update 服务服务器上特定目标组的过程自动完成。 为什么此更改非常重要? 将客户端计算机分配到目标组的过程以前是手动完成的。现在,管理员可以使用目标组来自动控制在指定客户端计算机组上安装哪些更新。部署更新之前,必须授权将该更新用于特定的目标组。 哪些功能发生变化? Windows Update 服务管理员现在可以使用组策略来将客户端计算机分配到特定的目标组。然后,运行 Windows Update 服务的服务器将使用这些目标组来授权将更新用于该特定的客户端组,并在其上安装更新。例如,可以按 Active Directory 环境中的各个安全组来识别客户端计算机和服务器计算机。然后,更新可以在不影响服务器计算机的情况下部署到客户端计算机上。 可编写脚本的 API 详细说明 现在,有一组应用程序编程接口 (API) 可用于以编程的方式或者通过脚本来管理自动更新。 为什么此更改非常重要? 管理员第一次可以借助脚本实现自动更新管理的自动化,而软件开发人员第一次可以创建与自动更新交互或管理自动更新的应用程序。 哪些功能发生变化? 没有对现有的行为或功能的改变。此功能是新添加的。 自动检测、下载和安装 详细说明 自动更新确定计算机是否未安装必要或关键更新,然后开始自动下载并安装这些更新。 在托管环境中,客户端直接从 Windows Update 或 Windows Update 服务服务器获取更新。管理员现在可以配置客户端计算机检查 Windows Update 服务服务器上是否有新更新的频率。 为什么此更改非常重要? 管理和分发更新的整个过程现在可以自动完成,并且,正因为此,客户端计算机可以及时地安装关键更新。 不间断的更新安装过程 详细说明 可以配置自动更新,以使不需要计算机重新启动或者不会导致任何形式的服务中断的更新可以随时安装,而不是只能在自动安排的时间安装。此外,自动更新可以合并需要计算机重新启动的更新,以使计算机只需重新启动一次。 自动更新还使得用户无需在 Windows Update 服务环境中与最终用户许可协议 (EULA) 交互。在此环境中,EULA 是由管理员代表客户端在 Windows Update 服务服务器上接受的。 为什么此更改非常重要? 此功能有助于将安装更新所需的计算机停机时间缩至最短。 在关机时安装更新 详细说明 “关闭 Windows”和“关闭计算机”对话框中出现一个新的“安装更新再关闭”选项。当更新已下载并准备好安装时,Windows 将这一新选项显示为默认选择,并对其标记 Windows 安全盾牌图标,以指示这是安全建议。可以通过配置相应的注册表设置来控制此安装选项为默认值或显示。 为什么此更改非常重要? 此功能简化了运行自动更新的许多客户端的管理工作。这提供了另一种为响应通知消息而安装更新的方法,并提供了一种在计算机未用于其他活动时安装更新的方法。 可扩展的管理功能 详细说明 在 Active Directory 环境中,管理员可以通过使用组策略来配置自动更新的行为。在其他情况下,管理员可以通过使用登录脚本或类似的机制,使用注册表项来远程配置自动更新。 此外,管理员还可以使用脚本并通过基于组件对象模型 (COM) 的 API 来管理客户端。 为什么此更改非常重要? 此功能简化了运行自动更新的许多客户端的管理工作。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?后台智能传输服务 (BITS) 详细说明 最新版的后台智能传输服务 (BITS) BITS 2.0 极大改进了带宽的效率。这意味着,当自动更新连接到 Windows Update 站点或运行 Windows Update 服务的服务器时,所需传输的数据更少,且传输速率更快。这可以把自动更新对 Internet 连接或公司网络的影响控制在最小。BITS 的改进包括以下几个方面:
为什么此更改非常重要? 对于仍然使用慢速拨号连接来访问 Internet 的用户,或者使用昂贵的广域网 (WAN) 链路的企业客户而言,此变更尤其重要。 它有助于缓解哪些威胁? 无。 哪些功能发生变化? 管理员可以使用组策略或注册表项来配置 BITS 使用网络连接的方式。这使得管理员可以完善其 Windows Update 服务和自动更新网络使用情况,并有助于确保更新不会影响其他业务运作。 日程安排和通知选项 详细说明 可以使用组策略为用户配置日程安排和通知选项。 具有管理权限的用户可以指定是否希望在自动下载或安装之前得到通知,并设置安装日程。此外,用户可以检索以前被拒绝或隐藏的更新。 当为计算机配置自动安装日程时,不会向用户发出通知。这是为了避免用户对通知目的感到迷惑。如果更新要求计算机重新启动,用户将会收到通知。 为什么此更改非常重要? 这些选项使得管理员可以完全控制何时以及如何下载和安装更新。 客户端计算机的自我更新 详细说明 在托管环境中,客户端计算机可以自动将其自动更新组件更新为更新的版本,而不需要管理员重新配置计算机。 为什么此更改非常重要? 它使得所需的人工干预降至最少,并使得 Windows Update 服务和自动更新基础结构的任何变更都可以快速可靠地部署。 它有助于缓解哪些威胁? 此功能有助于确保计算机始终保持最新并足够安全。 改进的更新适用性规则 详细说明 自动更新可以下载并安装真正适用于计算机的特定更新。自动更新与 Windows Update 站点或 Windows Update 服务服务器一起工作,以评估哪些更新应当应用于特定的系统。例如,在 Windows XP 计算机上,它有助于防止安装专用于 Windows 2000 的更新。 为什么此更改非常重要? 此功能仅下载适用于某一台计算机及该计算机上的应用程序的更新,从而有助于将下载到该计算机平台上的更新数目控制在最少。此外,它还有助于避免计算机安装专门针对其他操作系统的更新的风险。如果发生这种情况,计算机将不会获得必要的保护。 Windows XP Service Pack 2 中添加或更改了哪些设置?
是否需要更改代码才能使用 Windows XP Service Pack 2?Software Update Services (SUS) 1.0 和以前的自动更新版本均不提供任何 API,因此不需要修改代码即可使用自动更新。 策略的结果集策略结果集的作用是什么?组策略的策略结果集 (RSoP) 报告适用于用户或计算机的组策略设置。组策略管理控制台 (GPMC) 中的组策略结果向目标计算机请求 RSoP 数据,并以 HTML 格式的报告形式显示此数据。组策略建模请求相同类型的信息,但所报告的数据来自模拟计算机和用户组合的 RSoP 的服务。此模拟是在运行 Windows Server 2003 的域控制器上执行的,然后返回给运行 GPMC 的计算机来显示。最后,RSoP Microsoft 管理控制台 (MMC) 提供一种显示此信息的备用方法,但组策略结果通常是首选的方法。 此功能适用于哪些用户对象?Active Directory 域环境中的组策略管理员。此外,需要计划或验证组策略应用的 IT 专家可能也会对 RSoP 感兴趣。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?启用了 Windows 防火墙的 RSoP 使用方法 详细说明 在 Windows XP Service Pack 2 中,Windows 防火墙是默认启用的。针对未开放端口的传入请求(相对于对来自计算机的请求的响应)被 Windows 防火墙阻止。这会影响到 RSoP 在网络中的使用。 有关 Windows 防火墙的详细信息,请参阅本文档中的“Windows 防火墙”。 为什么此更改非常重要?它有助于缓解哪些威胁? 在 Windows XP Service Pack 2 之前,Windows XP 附带的 Windows 防火墙默认情况下是禁用的。用户需要运行向导,或者在“网络连接”文件夹中导航以手动启用 Windows 防火墙。此过程为许多用户带来了过多的困难,其结果是许多计算机没有任何防火墙保护。 通过默认启用 Windows 防火墙,计算机获得了更多的保护,可以防止许多基于网络的攻击。例如,如果 Windows 防火墙已默认启用,则无论用户是否安装了最新的修补程序,最新的 MSBlaster 攻击的影响都会大大削弱。 哪些功能发生变化?是否存在任何依赖性? Windows XP Service Pack 2 中存在两个重要的 RSoP 变更。
如何解决这些问题? 下表概述了要在运行 Windows XP Service Pack 2 时完全支持远程 RSoP 任务所必需的更改。请参阅后续部分以了解更多的详细信息。
使用 GPMC SP1 管理远程 RSoP 最初的 GPMC 版本在等待组策略结果或建模请求的结果时,使用回调机制。用于管理目的的计算机必须“侦听”此响应。由于启用了 Windows 防火墙,因此 Windows XP Service Pack 2 阻止这些响应。虽然打开相应的端口可以解决此问题,但是使用更新后的 GPMC(具有 Service Pack 1 的组策略管理控制台 (GPMC))可以完全不必使用回调机制。建议您安装 Service Pack 1 中提供的 GPMC,因为这样组策略结果和建模便可以在无需打开管理计算机上的端口的情况下继续工作。要安装具有 Service Pack 1 的 GPMC,请参阅 Microsoft 下载中心的“Group Policy Management Console with Service Pack 1”(具有 Service Pack 1 的组策略管理控制台),网址为 http://go.microsoft.com/fwlink/?LinkId=23529。 要远程管理 RSoP,必须在目标计算机上启用“Windows 防火墙:允许远程管理例外”组策略设置。 使用 RSoP MMC 管理单元管理远程 RSoP 要使用 RSoP MMC 管理单元远程管理 RSoP,目标计算机必须侦听相应的网络端口,以确保可以接收并处理传入的 RSoP 请求。这可以使用下面的策略设置并通过组策略来管理:
委派对组策略结果的访问权限 默认情况下,只有在发出请求的用户是目标计算机上的本地管理员时,才能远程使用组策略结果和 RSoP 管理单元。从 Windows Server 2003 开始,提供了一个允许将该权限委派给目标计算机管理员以外的用户的委派模型。未被授予这些计算机上的管理员权限的技术支持人员需要访问计算机,这是一种很常见的情况。 在 Windows XP Service Pack 2 中,加强了以 DCOM 身份验证(RSoP 所依赖的身份验证)为中心的安全模型。即便已正确配置了 RSoP 委派,这一加强也会防止除管理员以外的本地用户从目标计算机中检索 RSoP 信息。请注意此问题不会影响组策略建模,因为对模拟的 RSoP 数据请求是针对运行 Windows Server 2003 的域控制器发出的,按照定义,该域控制器不运行 Windows XP。 Windows XP Service Pack 2 提供一种管理与 DCOM 身份验证关联的用户和组的方法。该列表可以通过组策略来管理。要允许持续使用委派的 RSoP,要对其授予该权限的用户还必须具有通过 DCOM 身份验证模型授予的权限。有关 Windows XP Service Pack 2 中的 DCOM 安全变更的详细信息,请参阅本文档前面的“DCOM”。 要委派对组策略结果的访问权限,需要完成以下步骤:
远程编辑本地组策略对象 要远程编辑本地组策略对象,需要在目标计算机上启用以下策略设置:Windows 防火墙:允许文件和打印机共享管理。 该策略设置位于“计算机配置\管理模板\网络\网络连接\Windows 防火墙\[域|标准] 配置文件\”中。 安全中心安全中心是 Windows XP Service Pack 2 中的一项新服务,它提供一个更改安全设置、了解更多安全信息以及帮助确保用户计算机处于最新状态的中心位置。可以通过双击控制面板中的“安全中心”图标来使用安全中心。 安全中心的作用是什么?安全中心服务作为后台进程运行,它检查用户计算机上的下列组件的状态:
如果发现某个组件不存在或者不符合您的安全策略,安全中心将在用户任务栏的通知区域中放入一个红色图标,并在用户登录时提供警报消息。该消息包含打开安全中心用户界面的链接,该界面显示一条有关问题的消息,并提供解决问题的推荐方法。 如果用户运行的防火墙或防病毒软件未被安全中心检测到,则该用户可以选择将安全中心设置为避免有关该组件的警报消息。 在控制面板中,安全中心还充当与安全有关的控制面板项以及与安全有关的 Web 链接的起点。 此功能适用于哪些用户对象?默认情况下,此功能适用于工作组中的所有计算机,也就是未加入 Windows 域的计算机。 使用组策略设置,管理员可以为 Windows 域中的计算机启用此功能。 为什么此更改非常重要?此变更提供了一种简单的自动化警报机制,以帮助用户增强其计算机的安全性,并帮助降低其计算机受到基于网络的威胁的风险。 它有助于缓解哪些威胁?用户通常不确定哪些安全技术和设置最适合于防止其计算机受到基于网络的威胁。随着病毒日益泛滥,并且越来越多的用户通过“全天候”的宽带连接进行连接,此问题变得越来越尖锐。安全中心为用户提供了一种简单的途径,使其可以确信自己位于防火墙后端、运行的是最新的防病毒软件,以及其计算机自动更新了 Microsoft 提供的最新关键更新。 哪些功能发生变化?在安全中心自身所导致的将影响应用程序或服务的行为方面,新的版本没有任何变化。但是,安全中心有助于强制使用 Microsoft 和第三方安全相关组件,从而可能引发兼容性问题或其他问题。例如,有关由于与该组件不兼容而可能引发的问题,请参阅本文档中的“Windows 防火墙”部分。 在 Windows XP Service Pack 1 中,可以使用 /quiet 选项来安装 Service Pack,这将使得 Service Pack 的安装对用户是透明的。但是,如果 Windows XP Service Pack 2 是使用 /quiet 或 /q 选项安装的,则控制面板中的安全中心将在安装后的首次交互式登录时显示,以使用户可以查看其安全设置。 注意 如果 Windows XP Service Pack 2 是在域环境中安装的,则安全中心功能将由组策略设置控制(默认情况下不启用)。 如何解决这些问题?在将影响应用程序或服务的行为方面没有变化(但上面提到的情况例外)。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?在 Windows XP 的早期版本中,控制面板中没有“安全中心”类别。各个与安全有关的控制面板项分布在控制面板组件中。 Windows XP Service Pack 2 中添加或更改了哪些设置?注册表设置 可用于安全中心的注册表设置有三个。这些设置决定了用户是否会收到有关指定功能的警报。如果该项的值为 0 或者不存在,将启用该功能的通知图标和警报系统。如果存在值并且该值不为 0,将禁用该功能的通知图标和警报系统。 如果启用安全中心,则下表介绍的三个设置也将显示在安全中心用户界面中。
组策略设置 只有一个用于安全中心的组策略设置。该设置决定了是否为计算机已加入某个 Windows 域的用户启用安全中心用户界面和警报系统,或者用户界面和警报系统是否对这些用户不可用。如果此设置未启用、设置为 OFF 或者未配置,则安全中心在已加入 Windows 域的计算机上不可用。如果该设置设置为 ON,将在所有计算机(无论其是否为 Windows 域的成员)上启用安全中心。请注意,不能使用组策略对 Windows 域成员以外的用户禁用安全中心。 如果组织决定在组织中的计算机上使用安全中心,必须将组策略设置更改为“On”。当用户首次登录到已更新了作为 Windows XP Service Pack 2 安装程序一部分的安全中心的计算机上时,安全中心将打开,以便用户可以发现新增功能。建议您将此预期行为传达给用户,以避免用户不必要的担心。
是否需要更改代码才能使用 Windows XP Service Pack 2?您的代码不需要更改即可使用安全中心。 Setup(安装程序)Setup 的作用是什么?Setup 是一个程序,它在您的计算机上安装并配置操作系统。当首次安装 Windows XP 时,Setup 安装并配置操作系统以便可以正确地使用计算机。 通常,用于安装和配置软件程序的任何程序都称为 Setup。但是,在 Windows XP 中,存在两个不同的程序,这些程序在操作系统一旦可运行后便立即安装并配置程序。在 Windows XP 上安装 Windows XP Service Pack 2 或其他任何软件更新时,由服务包安装程序更新并更改目前安装的 Windows XP。如果要安装、配置或升级某个应用程序(如 Microsoft Office),则 Windows 安装程序是负责该任务的程序。 此功能适用于哪些用户对象?安装或部署 Windows XP Service Pack 2 的所有用户和管理员都应熟悉此功能的变化。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?Windows 的安装程序包 详细说明 Windows 的安装程序包 (Update.exe) 安装 Windows XP Service Pack 2。这是与用于安装完整的操作系统的技术不同的一种安装技术。Windows XP Service Pack 1 和 Service Pack 2 版本中的安装程序包存在细微的差别。有关安装程序包的完整讨论,请参阅 Microsoft 网站上的“Inside Update.exe - The Package Installer for Windows and Windows Components”(Windows 和 Windows 组件的安装程序包 Update.exe 的内部工作原理),网址为 http://go.microsoft.com/fwlink/?LinkId=26004。 Windows XP Service Pack 2 中的安装程序包变更包含以下内容:
Windows Installer 3.0Windows Installer 3.0 的作用是什么?Windows 安装程序服务定义并管理应用程序设置、安装和升级的标准格式。它跟踪文件组、注册表项以及快捷方式等组件。Windows 安装程序是常驻系统的安装服务,它提供一致的部署、使管理员和用户可以管理共享资源、自定义安装过程、决定应用程序的使用,以及解决配置问题。 Windows Installer 3.0 是该服务的新版本,它包含在 Windows XP Service Pack 2 中。 此功能适用于哪些用户对象?此功能适用于:
Windows XP Service Pack 2 中对此功能添加了哪些新功能?修补程序管理支持 详细说明 Windows Installer 3.0 为目标提供软件分发系统的底层基础结构,并将更新安装到基于 Windows 安装程序的应用程序。增强的详细目录功能使得管理员可以在用户和安装上下文中检测产品、功能、组件和修补程序。提供了三个新功能,以确定在将完整的修补程序负载下载到目标计算机上之前,是否需要修补程序。这些新功能如下:
为什么此更改非常重要? Software Update Services (SUS) 2.0 使用修补程序管理基础结构来检测修补程序,并将其应用于基于 Windows 安装程序的产品。这意味着使用 Windows Installer 3.0 安装的产品比使用以前版本安装的产品更易于使用 SUS 更新。 它有助于缓解哪些威胁? 使用 Windows Installer 3.0 和 Software Update Services 2.0,可以更容易地通过安装基于 Windows 安装程序的应用程序的最新修补程序来使计算机保持最新。确保对服务和应用程序应用最新的修补程序有助于防止针对已知漏洞的攻击。 可靠的小型修补程序详细说明 安装程序作者可以使用 Windows Installer 3.0 来创建使用 Microsoft 的增量压缩技术的修补程序包(文件扩展名为 .msp)。增量压缩技术使用二进制文件差分,而不是使用完整的文件,从而大大减少了修补程序负载。在以前的 Windows 安装程序版本中,使用增量压缩技术有时会导致安装程序提示用户插入应用程序的原始安装媒体(例如,应用程序的原始光盘),而该媒体通常很难获得。Windows Installer 3.0 缓存修补程序修改的文件的基线版本,并将该基线作为后续增量压缩修补程序的目标检索。安装程序作者应创建使用基线产品版本的修补程序。这样,用户应该不再需要提供原始安装媒体即可成功地应用修补程序。 为什么此更改非常重要? 如果修补程序包很小、易于下载,并且不要求用户执行复杂的安装步骤,那么用户将更有可能使其应用程序修补程序保持最新状态。 它有助于缓解哪些威胁? 通过确保对服务和应用程序应用最新的修补程序,有助于防止针对已知漏洞的攻击。 修补程序删除 详细说明 Windows Installer 3.0 支持修补程序删除,尽管某些应用程序开发人员可能创建无法删除的修补程序,如主升级修补程序。大多数修补程序都有支持文档,该支持文档将通知您是否可以删除修补程序。 可以使用控制面板、命令提示,或者通过直接调用新的 Windows Installer 3.0 MsiRemovePatches 功能来删除基于 Windows 安装程序的应用程序的修补程序。(有关 MsiRemovePatches 功能的详细信息,请参阅前一部分。) 删除修补程序时,会使计算机处于一种好像从未安装过修补程序的状态。安装、然后再删除修补程序之后的计算机状态(包括文件、注册表项等等)与安装修补程序之前的计算机状态完全相同。可以按照任意顺序删除修补程序。 Windows Installer 3.0 使用专用的重新安装模式来删除修补程序。从概念上讲,删除修补程序是重新安装受修补程序影响的实体的过程。只有在删除修补程序后发生改变的文件才在考虑范围之列;产品中的其他所有文件均保持不变。受修补程序影响的文件将还原为安装修补程序之前产品所预计的版本。如果某个修补程序明确地删除现有的修补程序,那么删除第二个修补程序将还原第一个修补程序。当删除取代现有修补程序的修补程序时,便还原了被取代的修补程序。 此外,如果某些修补程序虽然未明确卸载但不再适用,也可能会被删除。例如,针对次要更新的小型修补程序将在次要更新删除后被隐含删除。 为什么此更改非常重要? 如果用户和管理员确信可以在必要的时候可靠地撤消修补程序所做的更改,他们将更有可能部署和安装修补程序。 它有助于缓解哪些威胁? 此更改去掉了部署修补程序的壁垒。它为用户和管理员提供了一种为处理潜在的应用程序兼容性问题而删除修补程序的方法。 来源列表支持 详细说明 使用 Windows Installer 3.0,管理员可以更好地管理产品和修补程序来源列表。使用新功能可以实现产品来源(包括网络、URL 以及媒体来源)的完全静态管理,并使得用户可以从外部进程阅读、编辑和替换 Microsoft 安装程序来源列表。Windows Installer 3.0 包含三个管理来源列表的新功能:
为什么此更改非常重要? 为了支持应用程序弹性、某些修补方案以及按需安装,Windows 安装程序可能需要访问应用程序的安装源媒体。此更改使得管理员可以更好地管理产品的来源列表。 它有助于缓解哪些威胁? 管理员可以管理产品来源列表,以帮助确保修补程序部署和安装成功。确保对服务和应用程序应用最新的修补程序有助于防止针对已知漏洞的攻击。 顺序 详细说明 新的 Windows Installer 3.0 修补程序顺序表使修补程序作者可以针对在目标计算机上应用更新的顺序提供明确的指导。无论更新实际是按照何种顺序提供给计算机的,更新都将以相容的且可预计的顺序应用于目标计算机。作者可以通过使用修补程序顺序表来可靠地更新非版本文件。没有顺序表的修补程序将按照它们提供给 Windows 安装程序的顺序应用。 为什么此更改非常重要? 排序确保了应用修补程序之后,结果是相容的并且是可预计的。当有多个修补程序影响同一个文件或注册表设置时,这一点尤其重要。 它有助于缓解哪些威胁? 管理员可以使用排序来确保修补程序部署和安装成功。确保对服务和应用程序应用最新的修补程序有助于防止针对已知漏洞的攻击。 Windows XP Service Pack 2 中对哪些现有功能进行了更改?不再支持 FTP 和 GOPHER 详细说明 Windows Installer 3.0 仅使用 WinHTTP 来处理 URL 下载。以前的 Windows 安装程序版本依赖 WinINet 来访问标准的 Internet 协议。但是,WinHTTP 支持的协议与 WinINet 不同。因此,Windows Installer 3.0 不再支持 FTP 和 GOPHER 协议。但仍然支持 HTTP、HTTPS 和 FILE 协议。 有关 WinHTTP 安全性的详细信息,请参阅网址为 http://go.microsoft.com/fwlink/?LinkId=23097 的“About WinHTTP”(关于 WinHTTP)。 为什么此更改非常重要? WinINet 不支持服务器实现,因此不应通过服务来使用。WinHTTP 比 WinINet 更安全且更可靠。 它有助于缓解哪些威胁? WinHTTP 设计用于系统服务和基于 HTTP 的客户端应用程序。WinHTTP 比 WinINet 更安全且更可靠。 哪些功能发生变化? 如果使用 Windows Installer 3.0,则通过 FTP 和 GOPHER 协议进行的程序包下载将失败。 如何解决这些问题? 如果您的应用程序使用 GOPHER 或 FTP 来下载 URL 程序包,则必须将应用程序更改为使用 HTTP、HTTPS 或 FILE 协议。 Windows 安装程序服务不再是交互式的 详细说明 Windows 安装程序服务运行在本地系统帐户的安全上下文中。在以前的 Windows 版本中,Windows 安装程序的服务属性设置为 SERVICE_INTERACTIVE_PROCESS。这使得 Windows 安装程序服务是交互式的。交互式服务可以显示它自己的用户界面并接收用户输入,因此可能是一个安全漏洞。 正因为此,Windows Installer 3.0 服务不再是交互式的。 为什么此更改非常重要? 运行在本地系统上下文中的交互式服务使得用户可以向运行在另一个安全上下文中的程序投递消息,从而可能使得某些类型的攻击得逞。 它有助于缓解哪些威胁? 用户将无法与 Windows 安装程序服务交互。 是否需要更改代码才能使用 Windows XP Service Pack 2?否。为 Windows Installer 2.0 创建的安装程序包和修补程序可以使用 Windows Installer 3.0 来安装。当安装为 Windows Installer 2.0 创建的程序包或修补程序时,Windows Installer 3.0 将忽略 3.0 版引入的新数据库表。 Windows UpdateWindows Update 的作用是什么?Windows Update 帮助用户随时在其计算机上补充 Microsoft Windows 组件的修补程序和软件更新。使用 Windows Update,用户能够为其计算机的操作系统、软件和硬件选择更新。新的内容将定期添加到站点中,从而确保了客户始终能够获得最新的更新和修补程序,以保护其计算机并使其正常运行。 Windows Update 基于 Windows Update 服务,它使得 IT 管理员能够同步来自 Windows Update 服务器的更新、设置这些更新的优先级,然后在整个企业环境中分发这些更新。 在 Windows XP Service Pack 2 之前,Windows Update 仅仅为 Windows 操作系统附带的那些组件(如 Internet Explorer、Windows Media Player 和 Windows Messenger)提供该服务。在 Windows XP Service Pack 2 中,Windows Update 服务的 Windows Update 提供两个服务:
Windows 用户可以通过网站或自动更新与这两个服务交互。在撰写本文档之时,客户只能使用 Windows Update 服务;Microsoft Update 将在稍晚时推出。 此功能适用于哪些用户对象?Windows Update 和 Microsoft Update 网站功能适用于选择不启用自动更新,但希望确保其 Windows 操作系统和应用程序的安全性和最新状态的所有 Windows Internet 用户。对于对无法通过自动更新获得的非关键更新感兴趣的那些 Windows 用户而言,Windows Update 站点功能也是必要的。 Windows XP Service Pack 2 中对此功能添加了哪些新功能?用于 Microsoft 应用程序的更新详细说明 新的 Microsoft Update 服务为 Microsoft 应用程序(如 Office、SQL 和 Exchange)提供安全修补程序和更新。现在,当用户导航到 Microsoft Update 站点或启用自动更新时,将能够不断地接收到所有相关的更新。这样便自动保持了 Windows 和所有支持的应用程序的安全性,从而使用户不必再为搜索更新而导航到多个位置。 为什么此更改非常重要? 以前,要确保 Windows 组件和应用程序的安全性,用户必须导航到多个位置。现在,用户只需启用自动更新即可确保 Windows 和相关应用程序的安全性和最新状态。选择转至 Microsoft Update 网站的用户将在一个位置接收所有高优先级更新。 它有助于缓解哪些威胁? 当用户由于疏漏而未安装其他 Windows 应用程序的更新时,此更改有助于缓解所造成的损失。这样便避免了针对 Windows 或其他 Microsoft 应用程序中的已知漏洞的攻击。 哪些功能发生变化? 现在,用户只需导航到 Microsoft Update 站点并单击“快速安装”,或者打开自动更新,便能够不断地接收到 Windows 内容和其他应用程序的安全更新和高优先级修补程序。用户通过一种机制和一个目的地接收 Windows 内容和其他应用程序的安全更新和修补程序。导航到 Microsoft Update 站点并单击“自定义”选项的用户将接收到安全更新和高优先级修补程序,以及其他优先级较低的可选更新。 快速安装选项和自定义安装选项详细说明 某些用户转至 Windows Update 网站后仅仅搜索最关键的更新,从而使其计算机在最短的时间内更新。快速安装路径和自定义安装路径有助于用户通过站点快速找到最满足其需要的路线 — 或者快速获得所有高优先级更新,或者花更多的时间浏览并选择可选的更新。 为什么此更改非常重要? 更新计算机应该是一个简单快速的过程。此更改去掉了某些步骤和选项,从而使得更新过程更快且更不容易出错。此更改还使得用户获得了更大的灵活性和更多的选择权。 为了改善用户体验,Windows Update 主页现在具有两种模式:
它有助于缓解哪些威胁? 此设计有助于缓解用户在查找关键安全更新时经常感到迷惑的情况。这反过来有助于用户快速安装更新以避免针对已知漏洞的攻击。 哪些功能发生变化? Windows Update 页已更改,导航和选择更新的步骤也不同。Windows Update 的基本功能未更改。 Windows Update 和 Microsoft Update 主页详细说明 Windows XP Service Pack 2 中的 Windows Update 和 Microsoft Update 主页及站点添加了下列增强功能。
内容组织和导航详细说明 Windows Update 和 Microsoft Update 站点的内容组织和导航变更包括:
可支持性详细说明 为了提供更有效的自我服务和服务/内容故障排除,以及在协作服务方案中为产品支持工程师提供更好的信息,Windows Update 和 Microsoft Update 站点添加了下列可支持性增强:
为什么此更改非常重要? 新添加的这些功能和更改有助于用户找到并安装通过 Windows Update 站点提供的各类更新。反过来,这还有助于用户避免针对已知漏洞的攻击。
|
本文内容
|
