Änderungen an der Funktionalität durch Microsoft Windows XP Service Pack 2

Teil 6: Computerwartung

Veröffentlicht: 10. Jan 2005
Von Starr Andersen, technischer Autor; Vincent Abella, technischer Redakteur

Bei diesem Dokument handelt es sich um Teil 6 von "Änderungen an der Funktionalität durch Microsoft Windows XP Service Pack 2". Dieser Teil enthält detaillierte Informationen zu den in Windows XP Service Pack 2 enthaltenen Sicherheitstechnologien, die den Benutzer über Sicherheit informieren und sicherstellen, dass Computer über aktuelle Sicherheitsupdates verfügen. Diese Technologien wurden entweder entworfen, um zum Bereitstellen von Sicherheit beizutragen, oder sie wurden verbessert, um mehr Sicherheit als vorher bereitzustellen.

Dieses Dokument gilt für Microsoft Windows XP Service Pack 2 (SP2) für die 32-Bit-Versionen von Windows XP Professional und Windows XP Home Edition. Es werden nicht alle im Service Pack enthaltenen Änderungen beschrieben. Vielmehr werden diejenigen Änderungen hervorgehoben, die sich am stärksten auf die Verwendung von Windows XP SP2 auswirken, und Referenzen für zusätzliche Informationen bereitgestellt.

Auf dieser Seite
Filter für "Software"Filter für "Software"
Microsoft Windows Update Services und automatische UpdatesMicrosoft Windows Update Services und automatische Updates
RichtlinienergebnissatzRichtlinienergebnissatz
SicherheitscenterSicherheitscenter
SetupSetup
Windows Installer 3.0Windows Installer 3.0
Windows Update Windows Update

Filter für "Software"

Wozu dient der Filter für "Software"?

Der Filter für Software ermöglicht dem Benutzer auszuwählen, ob von der Microsoft-Website gedownloadete Updates, z. B. Sicherheitsupdates, in der Liste Zurzeit installierte Programme angezeigt werden.

Für wen ist diese Funktion gedacht?

Software kann von jedem Benutzer mit Administratoranmeldeinformationen auf dem lokalen Computer verwendet werden. Obwohl einige Anwendungen von Nichtadministratoren installiert oder entfernt werden können, sind für die meisten Administratoranmeldeinformationen erforderlich.

Welche vorhandene Funktionalität ändert sich in Windows XP Service Pack 2?

Herausfiltern von Updates aus der Liste "Programme ändern oder entfernen"

Detaillierte Beschreibung

Die Liste Programme ändern oder entfernen in Software zeigt installierte Programme an, die der Benutzer ändern oder entfernen kann. Die Liste zeigt außerdem installierte Updates für Windows oder andere Programme an.

In Windows XP Service Pack 2 (SP2) kann der Benutzer auswählen, ob Updates für Windows und andere Programme in dieser Ansicht angezeigt oder ausgeblendet werden sollen. Über der Liste wird ein neues Kontrollkästchen Updates anzeigen angezeigt, mit dem der Benutzer zwischen dem Anzeigen oder Ausblenden installierter Updates umschalten kann.

Warum ist diese Änderung wichtig?

Softwareanbieter erstellen mehr Softwareupdates und veröffentlichen sie häufiger als je zuvor. Diese häufigen Updates tragen zur Erhöhung der Zuverlässigkeit und Sicherheit der Systeme der Benutzer bei. Wenn jedoch in der Liste Programme ändern oder entfernen in Software alle Updates angezeigt werden, wird die Liste der installierten Programme durch die Liste der installierten Updates zu unübersichtlich. Eine neue Option zum Herausfiltern der Updates aus der Liste und zum Anzeigen nur der installierten Programme verbessert die Lesbarkeit der Liste für Benutzer.

Welche Funktionsweisen haben sich geändert? Gibt es Abhängigkeiten?

Standardmäßig zeigt Programme ändern oder entfernen keine installierten Updates für Windows an. Zum Anzeigen der installierten Updates können Sie das Kontrollkästchen Updates anzeigen über der Liste aktivieren.

Diese Funktion kann von jedem Programm genutzt werden, in dem die Updates so gekennzeichnet werden, dass sie bei Bedarf ausgeblendet werden. Windows-Programme, die vor der Veröffentlichung von Windows XP Service Pack 2 geschrieben wurden, werden unabhängig von der Auswahl für die Filteroption angezeigt.

Wie werden diese Probleme behoben?

Verwenden Sie das folgende Verfahren, um die Filterfunktion auf einem einzelnen Computer zu deaktivieren:

1.

Öffnen Sie den Registrierungs-Editor.

Klicken Sie hierzu im Startmenü auf Ausführen, geben Sie regedit ein, und drücken Sie dann die EINGABETASTE.

2.

Navigieren Sie zum folgenden Registrierungsschlüssel:

\\HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows \CurrentVersion\Policies\Uninstall

3.

Wählen Sie den DontGroupPatches-Schlüssel aus.

Der DWORD-Wert ist standardmäßig auf 0 festgelegt.

4.

Ändern Sie den DWORD-Wert in 1, um die Filterfunktion zu deaktivieren.

Vorsicht   Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Schäden im System verursacht werden. Bevor Änderungen an der Registrierung vorgenommen werden, sollte eine Sicherungskopie aller wichtigen Computerdaten erstellt werden.

In einer Unternehmensumgebung können Sie zum Ändern der Registrierungseinstellung, die die Filterfunktion steuert, ein Gruppenrichtlinienobjekt erstellen, damit sich das Symbol Software in der Systemsteuerung wie in Service Pack 1 für Windows XP verhält.

Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?

Einstellungsname Pfad Vorheriger Standardwert (falls zutreffend)StandardwertMögliche Werte

DontGroupPatches

HKEY_LOCAL_MACHINE
\Software

\Microsoft\Windows
\CurrentVersion

\Policies\Uninstall

 

REG_DWORD:0

REG_DWORD:1

Muss mein Code geändert werden, damit er mit Windows XP Service Pack 2 funktionsfähig ist?

Programme müssen nicht geändert werden, damit sie weiterhin mit Software in Windows XP Service Pack 2 funktionsfähig sind. Wenn ein Programm nicht geändert wird, um die neue Funktion zu verwenden, verhält es sich weiterhin wie in Service Pack 1.

Ein Programm kann die neue Filteroption nutzen, indem seine Updates so gekennzeichnet werden, dass sie standardmäßig nicht angezeigt werden. Details zum Kennzeichnen von Programmen als Updates werden zu einem späteren Zeitpunkt auf MSDN zur Verfügung gestellt.

Microsoft Windows Update Services und automatische Updates

Was bewirken Windows Update Services und automatische Updates?

Mit Windows Update Services (frühere Bezeichnung: Software Update Services) können Administratoren den Bereitstellungsprozess für wichtige Updates und Sicherheitsupdates auf Clientcomputern unter Microsoft Windows XP Professional oder Microsoft Windows 2000 Professional sowie unter Windows 2000 Server und Windows Server 2003 optimieren und automatisieren.

Windows Update Services enthält folgende Komponenten:

Windows Update. Die Microsoft-Website, die alle verfügbaren Microsoft-Updates nach Produkt- und Updatetyp enthält. Änderungen an Windows Update werden weiter unten in diesem Dokument beschrieben.

Microsoft Windows Update Services. Die Windows Update Services-Serverkomponente für die Verwaltung und Verteilung von Updates. Diese Komponente wird zu einem späteren Zeitpunkt veröffentlicht. Weitere Informationen finden Sie auf der Windows Update Services-Seite auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?linkid=29906.

Automatische Updates. Die Clientkomponente, mit deren Hilfe Computer eine Verbindung direkt mit Windows Update oder mit einem Server mit Windows Update Services herstellen, um Updates zu empfangen. Die Komponente für automatische Updates ist in Windows 2000 Service Pack 3 und höher, Windows XP und höher sowie in Windows Server 2003 enthalten. Windows XP Service Pack 2 und die neue Clientkomponente für automatische Updates können in der Software Update Services 1.0-Umgebung oder in der neuen Windows Update Services-Umgebung ausgeführt werden.

Hinweis   Der Rest dieses Abschnitts beschreibt automatische Updates in Windows XP Service Pack 2.

Die automatischen Updates stellen regelmäßig eine Verbindung mit Windows Update im Internet oder mit einem Windows Update Services-Server im Firmennetzwerk her. Sobald neue für den Computer zutreffende Updates ermittelt wurden, können die automatischen Updates so konfiguriert werden, dass alle Updates automatisch installiert werden (bevorzugt) oder dass der Administrator des Computers oder die Benutzer, deren Computer für den Empfang von Benachrichtigungen konfiguriert sind, benachrichtigt werden. Wenn ein Administrator die zu downloadenden Updates ausgewählt hat, werden die Updates von den automatischen Updates gedownloadet und installiert.

Für wen ist diese Funktion gedacht?

Alle Benutzer und Administratoren von Computern unter Windows XP und Windows 2000 Server und höher.

Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?

Unterstützung für Anwendungen und Hardwaretreiber

Detaillierte Beschreibung

Die aktuelle Version der automatischen Updates bietet erweiterte Unterstützung für Microsoft-Produkte, einschließlich Microsoft Office, Microsoft SQL Server und Microsoft Exchange. Sie ermöglicht außerdem die Verteilung aktualisierter Hardwaretreiber.

Zur Minderung welcher Probleme trägt dies bei?

In der Vergangenheit konnten die automatischen Updates nur wichtige Updates für das Windows-Betriebssystem verteilen. Mit dieser Version können neben dem Betriebssystem auch Anwendungen und Treiber aktualisiert werden. Indem diese Anwendungen und Treiber mit den aktuellen Sicherheitsfixes aktuell gehalten werden, kann die Angriffsfläche reduziert und weniger bekannte Sicherheitsrisiken offen gelegt werden.

Welche Funktionsweisen haben sich geändert?

Administratoren können beim Überprüfen der Benachrichtigungen über automatische Updates unter mehr Updatetypen auswählen.

Unterstützung für zusätzliche Updatekategorien

Detaillierte Beschreibung

Vorherige Versionen der automatischen Updates ermöglichten nur das Verteilen und Installieren wichtiger Updates. Diese Version enthält Unterstützung für folgende Kategorien:

Sicherheitsupdates

Wichtige Updates

Updaterollups

Service Packs

Für Kunden, die einen intranetbasierten Windows Update Services-Server verwenden, stehen möglicherweise zusätzliche Updatetypen zur Verfügung. Weitere Informationen zu Updatekategorien, einschließlich wichtiger Updates, finden Sie im Artikel zu Windows Update auf der Windows Update-Website unter http://go.microsoft.com/fwlink/?linkid=17289.

Warum ist diese Änderung wichtig?

Durch das Hinzufügen von Unterstützung für ein breiteres Spektrum von Updates, insbesondere Sicherheitsupdates, tragen automatische Updates dazu bei, dass Computer zuverlässiger aktuell gehalten und geschützt und einfacher verwaltet werden können.

Zur Minderung welcher Probleme trägt dies bei?

Microsoft hat in der Vergangenheit eine Reihe empfohlener Updates veröffentlicht, die nicht als wichtig betrachtet wurden und daher nicht automatisch installiert wurden. Die Benutzer mussten eine Verbindung mit der Windows Update-Website herstellen und die Updates manuell installieren. Da der Prozess manuell ablief, bestand die Möglichkeit, dass Benutzer die Updates nicht rechtzeitig installierten und dadurch ihre Computer möglichen Angriffen aussetzten. Dank dieser Änderung können die neuen Kategorien ähnlich wie wichtige Updates automatisch installiert werden.

Welche Funktionsweisen haben sich geändert?

Administratoren können beim Überprüfen der Benachrichtigungen über automatische Updates unter mehr Updatetypen auswählen.

Automatische Priorisierung und automatischer Download wichtiger Updates

Detaillierte Beschreibung

Die automatischen Updates können jetzt den Download von Updates priorisieren, wenn Updates mit unterschiedlicher Priorität gedownloadet werden. Wenn z. B. ein umfangreiches Service Pack gedownloadet wird und ein kleineres Sicherheitsupdate für einen Exploit veröffentlicht wird, wird das Sicherheitsupdate vor dem Service Pack gedownloadet.

Warum ist diese Änderung wichtig?

Sie ermöglicht das Installieren wichtiger Updates vor anderen Updates.

Zur Minderung welcher Probleme trägt dies bei?

Aufgrund des gestiegenen Umfangs der über die automatischen Updates zugestellten Updates trägt diese Änderung entscheidend dazu bei, die Wahrscheinlichkeit zu verringern, dass Updates mit hoher Priorität durch andere Updates verzögert werden.

Welche Funktionsweisen haben sich geändert?

Bestimmte Updates werden vor anderen gedownloadet, wenn für sie eine höhere Priorität bestimmt wird.

Clientzielgruppen

Detaillierte Beschreibung

Wenn automatische Updates in Verbindung mit einem Windows Update Services-Server verwendet werden, können Administratoren die Zuweisung eines Clientcomputers zu einer bestimmten Zielgruppe auf einem Windows Update Services-Server automatisieren.

Warum ist diese Änderung wichtig?

Clientcomputer wurden bisher manuell zu Zielgruppen zugewiesen. Administratoren verwenden jetzt Zielgruppen, um automatisch zu steuern, welche Updates auf bestimmten Clientcomputergruppen installiert werden. Bevor ein Update bereitgestellt wird, muss es für eine bestimmte Zielgruppe autorisiert werden.

Welche Funktionsweisen haben sich geändert?

Windows Update Services-Administratoren können jetzt mithilfe der Gruppenrichtlinie Clientcomputer zu einer bestimmten Zielgruppe zuweisen. Ein Server mit Windows Update Services genehmigt und installiert dann mithilfe dieser Zielgruppen Updates auf der jeweiligen Clientgruppe. Beispielsweise können Client- und Servercomputer durch separate Sicherheitsgruppen in der Active Directory-Umgebung identifiziert werden. Ein Update kann dann ohne Auswirkungen auf die Servercomputer auf den Clientcomputern bereitgestellt werden.

Skriptfähige APIs

Detaillierte Beschreibung

Es ist nun ein Satz Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) verfügbar, mit denen automatische Updates programmgesteuert oder über Skripts verwaltet werden können.

Warum ist diese Änderung wichtig?

Erstmals können Administratoren die Verwaltung automatischer Updates mit Skripts automatisieren, und Softwareentwickler können Anwendungen erstellen, die Schnittstellen zu automatischen Updates haben oder diese verwalten.

Welche Funktionsweisen haben sich geändert?

Das Verhalten bzw. die Funktionalität ist unverändert. Es wurde neue Funktionalität hinzugefügt.

Automatische Erkennung, automatischer Download und automatische Installation

Detaillierte Beschreibung

Die automatischen Updates bestimmen, ob auf einem Computer erforderliche oder wichtige Updates installiert sind und initiieren den Download und die Installation dieser Updates automatisch.

In einer verwalteten Umgebung erhält der Client Updates direkt von Windows Update oder von einem Windows Update Services-Server. Administratoren können jetzt konfigurieren, wie oft die Clientcomputer einen Windows Update Services-Server auf neue Updates überprüfen.

Warum ist diese Änderung wichtig?

Der gesamte Verwaltungs- und Verteilungsprozess für Updates kann jetzt automatisiert werden, sodass wichtige Updates rechtzeitig auf Clientcomputern installiert werden können.

Keine Unterbrechung während der Updateinstallation

Detaillierte Beschreibung

Sie können die automatischen Updates so konfigurieren, dass Updates, für die der Computer nicht neu gestartet werden muss und bei denen keinerlei Arbeitsunterbrechungen auftreten, jederzeit installiert werden können und nicht nur dann, wenn sie automatisch geplant sind. Außerdem können die automatischen Updates Updates, für die der Computer neu gestartet werden muss, konsolidieren, sodass nur ein Neustart erforderlich ist.

Darüber hinaus müssen die Benutzer dank der automatischen Updates in einer Windows Update Services-Umgebung nicht mehr mit Endbenutzer-Lizenzverträgen (EULAs) interagieren. In dieser Umgebung werden Endbenutzer-Lizenzverträge von Administratoren für die Clients auf dem Windows Update Services-Server akzeptiert.

Warum ist diese Änderung wichtig?

Diese Funktion trägt dazu bei, die mit dem Installieren von Updates verbundenen Computerausfallzeiten zu minimieren.

Installieren von Updates beim Herunterfahren

Detaillierte Beschreibung

Die Dialogfelder Windows herunterfahren und Computer ausschalten enthalten die neue Option Updates installieren und herunterfahren. Wenn Updates gedownloadet wurden und installiert werden können, zeigt Windows die neue Option als Standardauswahl an und kennzeichnet sie mit dem Windows-Sicherheit-Schild, das auf eine Sicherheitsempfehlung hinweist. Sie können steuern, ob diese Installationsoption die Standardeinstellung ist oder ob sie angezeigt wird, indem Sie die entsprechende Registrierungseinstellung konfigurieren.

Warum ist diese Änderung wichtig?

Diese Funktion vereinfacht die Verwaltung vieler Clients, die automatische Updates ausführen. Dies bietet eine Alternative zum Installieren von Updates als Reaktion auf Benachrichtigungen und eine Methode zum Installieren von Updates zu einem Zeitpunkt, zu dem der Computer nicht für andere Aktivitäten verwendet wird.

Erweiterbare Verwaltungsfunktionen

Detaillierte Beschreibung

In einer Active Directory-Umgebung können Administratoren das Verhalten der automatischen Updates mithilfe der Gruppenrichtlinie konfigurieren. In anderen Fällen können Administratoren die automatischen Updates mit Registrierungsschlüsseln und mithilfe eines Anmeldeskripts oder eines ähnlichen Mechanismus remote konfigurieren.

Außerdem können Administratoren Skripts verwenden, um Clients über die COM-basierte API (Component Object Model) zu verwalten.

Warum ist diese Änderung wichtig?

Diese Funktion vereinfacht die Verwaltung vieler Clients, die automatische Updates ausführen.

Welche vorhandene Funktionalität ändert sich in Windows XP Service Pack 2?

Intelligenter Hintergrundübertragungsdienst (Background Intelligent Transfer Service, BITS)

Detaillierte Beschreibung

In der aktuellen Version des Intelligenten Hintergrundübertragungsdienstes, BITS 2.0, ist die Bandbreiteneffizienz deutlich verbessert. Das heißt, wenn die automatischen Updates eine Verbindung mit der Windows Update-Website oder einem Server mit Windows Update Services herstellen, müssen weniger Daten übertragen werden, und die Daten können schneller übertragen werden. Dies minimiert die möglichen Auswirkungen automatischer Updates auf die Internetverbindung oder auf das Firmennetzwerk. BITS beinhaltet folgende Verbesserungen:

BITS 2.0 kann so konfiguriert werden, dass Updates zu bestimmten Zeiten, beispielsweise zu Zeiten mit geringerer Netzwerkverwendung, gedownloadet werden.

BITS 2.0 kann so konfiguriert werden, dass nur ein bestimmter Teil der verfügbaren Netzwerkbandbreite verwendet wird.

BITS 2.0 ist so optimiert, dass nur die geänderten Teile von Dateien gedownloadet werden. Wenn sich z. B. nur ein Byte in einer aktualisierten 1-MB-Datei geändert hat, überträgt BITS anstatt der gesamten 1-MB-Datei nur einige Bytes.

BITS 2.0 kann nach Netzwerkfehlern wiederhergestellt werden. BITS kann eine Dateiübertragung fortsetzen, wenn während eines Downloads das Netzwerk ausfällt oder die Verbindung abbricht. Der Download wird nicht neu gestartet, sondern an der Stelle fortgesetzt, an der er abgebrochen wurde.

Warum ist diese Änderung wichtig?

Diese Änderung ist besonders wichtig für Benutzer, die noch langsame DFÜ-Verbindungen für das Internet verwenden, oder für Firmenkunden, die kostspielige WAN-Verbindungen (Wide Area Network) verwenden.

Zur Minderung welcher Probleme trägt dies bei?

Keine.

Welche Funktionsweisen haben sich geändert?

Administratoren können mithilfe der Gruppenrichtlinie oder mit Registrierungsschlüsseln konfigurieren, wie Netzwerkverbindungen von BITS verwendet werden. Auf diese Weise können Administratoren die Netzwerkverwendung durch Windows Update Services und automatische Updates optimieren und sicherstellen, dass sich Updates nicht auf andere Geschäftsvorgänge auswirken.

Planungs- und Benachrichtigungsoptionen

Detaillierte Beschreibung

Sie können mithilfe der Gruppenrichtlinie Planungs- und Benachrichtigungsoptionen für Benutzer konfigurieren.

Benutzer mit Administratorrechten können angeben, ob sie vor automatischen Downloads oder Installationen benachrichtigt werden möchten, und den Installationszeitplan festlegen. Außerdem können die Benutzer vorher abgelehnte oder ausgeblendete Updates abrufen.

Wenn Computer für geplante automatische Installationen konfiguriert sind, erfolgt keine Benachrichtigung. Auf diese Weise soll potenzielle Verwirrung beim Benutzer hinsichtlich des Zweckes der Benachrichtigung vermieden werden. Der Benutzer empfängt eine Benachrichtigung, wenn für das Update ein Neustart des Computers erforderlich ist.

Warum ist diese Änderung wichtig?

Diese Optionen geben Administratoren vollständige Kontrolle darüber, wann und wie Updates gedownloadet und installiert werden.

Selbstaktualisierung für Clientcomputer

Detaillierte Beschreibung

In einer verwalteten Umgebung können Clientcomputer ihre Komponenten für automatische Updates automatisch auf neuere Versionen aktualisieren, ohne dass ein Administrator den Computer neu konfigurieren muss.

Warum ist diese Änderung wichtig?

Sie minimiert erforderliche Benutzereingriffe und ermöglicht das schnelle und zuverlässige Bereitstellen aller Änderungen an der Infrastruktur von Windows Update Services und automatischen Updates.

Zur Minderung welcher Probleme trägt dies bei?

Diese Funktion trägt dazu bei, sicherzustellen, dass Computer immer aktuell und sicher sind.

Verbesserte Regeln für zutreffende Updates

Detaillierte Beschreibung

Die automatischen Updates können bestimmte, wirklich für den Computer zutreffende Updates downloaden und installieren. Automatische Updates werten anhand der Windows Update-Website oder des Windows Update Services-Servers aus, welche Updates auf ein bestimmtes System anzuwenden sind. Auf einem Computer unter Windows XP z. B. trägt dies zum Schutz vor der Installation eines für Windows 2000 bestimmten Updates bei.

Warum ist diese Änderung wichtig?

Diese Funktion trägt dazu bei, die Anzahl der auf einen Computer gedownloadeten Updates zu minimieren, indem nur für die jeweilige Plattform und die jeweiligen Anwendungen zutreffende Updates gedownloadet werden. Es trägt außerdem dazu bei, Computer vor dem Risiko zu schützen, dass ein für ein anderes Betriebssystem bestimmtes Update installiert wird. In diesem Fall verfügt der Computer möglicherweise nicht über den erforderlichen Schutz.

Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?

EinstellungsnamePfad Vorheriger Standardwert (falls zutreffend)StandardwertMögliche Werte

WUServer

HKEY_LOCAL_MACHINE \Software\
Policies\ Microsoft\Windows
\WindowsUpdate

Nicht zutreffend.

(keiner)

URL des Windows Update Services-Servers, der von automatischen Updates und (standardmäßig) von API-Aufrufern verwendet wird.

Hinweis   Diese Richtlinie ist gepaart mit WUStatusServer; beide Richtlinien müssen festgelegt sein, damit sie gültig sind.

AU\ UseWUServer

HKEY_LOCAL_MACHINE \Software\
Policies \Microsoft\Windows \WindowsUpdate\AU

 

(keiner)

Wurde durch den obigen Schlüssel ersetzt.

WUStatusServer

HKEY_LOCAL_MACHINE \Software\
Policies\ Microsoft\Windows
\WindowsUpdate

Nicht zutreffend.

(keiner)

URL des Servers, an den Personalinformationen für Aufrufer gesendet werden, die den durch den WUServer-Schlüssel konfigurierten Windows Update Services-Server verwenden.

Hinweis   Diese Richtlinie ist gepaart mit WUServer Beide Richtlinien müssen festgelegt sein, damit sie gültig sind.

ElevateNonAdmins

HKEY_LOCAL_MACHINE \Software\
Policies\ Microsoft\Windows
\WindowsUpdate

Nicht zutreffend.

0 (keine Erweiterung)

Boolescher Wert, der angibt, ob Benutzer in der Sicherheitsgruppe Benutzer Updates genehmigen dürfen und ob sie diese über die Client-API installieren oder deinstallieren können.

0 = falsch (normale Benutzer verfügen nicht über erweiterte Rechte)

1 = wahr (normale Benutzer verfügen über erweiterte Rechte)

TargetGroup

HKEY_LOCAL_MACHINE \Software\
Policies\ Microsoft\Windows
\WindowsUpdate

 

(keiner)

Name der Zielgruppe, zu der der Computer gehört, wird zum Implementieren von Clientzielgruppen verwendet. Beispiel: "Testserver".

AUOptions

HKEY_LOCAL_MACHINE \Software\
Policies \Microsoft\Windows \WindowsUpdate\AU

 

(keiner)

Richtlinieneinstellung für die Konfiguration von automatischen Updates. Wenn die Einstellung auf einen anderen Wert als 5 festgelegt ist, darf der Benutzer in der Systemsteuerung nichts konfigurieren (außer der Einstellung MinorUpdates).

Wenn die Einstellung über die Gruppenrichtlinie festgelegt wird, sind nur die Optionen 2 - 5 gültig.

(Keine oder ungültig) – Die Richtlinie ist nicht vorhanden.

0 – Nicht konfiguriert (ungültig für die Richtlinie)

1 – AU ist deaktiviert (ungültig für die Richtlinie)

2 – Vor Download benachrichtigen

3 – Vor Installation benachrichtigen

4 – Geplante Installation (nur gültig, wenn auch gültige Werte für ScheduledInstallDay und ScheduledInstallTime angegeben sind).

5 – Automatische Updates sind erforderlich, aber Endbenutzer können auswählen, wie sie konfiguriert sein sollen. Diese Option ist neu für Windows Update Services.

Wenn über eine Richtlinie eine ungültige Option oder Kombination aus Optionen angegeben wird, ist der Effekt derselbe wie beim Nichtfestlegen der Richtlinie: Lokale Administratoren können die Einstellung mithilfe der Systemsteuerung ändern.

NoAutoUpdate

HKEY_LOCAL_MACHINE
\Software\
Policies \Microsoft\Windows \WindowsUpdate\AU

 

0 (Nicht deaktiviert)

Boolescher Wert, der angibt, ob automatische Updates deaktiviert werden sollen. Der Effekt für den Endbenutzer ist im Grunde derselbe wie beim Festlegen von AUOptions=1, außer dass Benutzer die Einstellung nicht ändern können, da sie von der Gruppenrichtlinie kommt.

0 - Falsch (AutoUpdate nicht deaktivieren)

1 - Wahr (AutoUpdate deaktivieren)

Geplant
InstallDay

HKEY_LOCAL_MACHINE \Software\
Policies \Microsoft\Windows \WindowsUpdate\AU

 

(keiner)

Gibt den Wochentag an, an dem automatische Updates automatisch Updates installieren, wenn AUOptions über die Gruppenrichtlinie auf 4 (geplant) festgelegt ist. Wird ignoriert, wenn AUOptions nicht auf 4 festgelegt ist.

(Keine) – Richtlinie nicht festgelegt

0 – Jeden Tag

1 – Jeden Sonntag

2 - Jeden Montag

3 - Jeden Dienstag

4 - Jeden Mittwoch

5 - Jeden Donnerstag

6 - Jeden Freitag

7 - Jeden Samstag

Geplant
InstallTime

HKEY_LOCAL_MACHINE
\Software\
Policies\Microsoft
\Windows
\WindowsUpdate\AU

 

(keiner)

Gibt den Zeitpunkt an, zu dem automatische Updates automatisch Updates installieren, wenn AUOptions über eine Richtlinie auf 4 (geplant) festgelegt ist. Wird ignoriert, wenn AUOptions nicht auf 4 festgelegt ist.

(Keine) – Richtlinie nicht festgelegt

0 - Mitternacht

1 - 1:00 Uhr Ortszeit

usw.

DetectionFrequency

HKEY_LOCAL_MACHINE \Software\
Policies \Microsoft\Windows \WindowsUpdate\AU

 

(keiner)

Zeit (in Stunden) zwischen den Erkennungszyklen für automatische Updates.

Min = 1 (1 Stunde)

Max = 22 (22 Stunden)

Erneut planen
WaitTime

HKEY_LOCAL_MACHINE \Software\
Policies \Microsoft\Windows \WindowsUpdate\AU

 

(keiner)

Zeitraum (in Minuten), den automatische Updates beim Systemstart abwarten sollen, bevor Updates einer verpassten geplanten Installationszeit angewendet werden. Wenn die Richtlinie nicht angegeben ist, warten automatische Updates bis zum nächsten geplanten Installationszeitpunkt.

Diese Richtlinie trifft nur für geplante Installationen zu, nicht für Zeitlimits. Updates mit abgelaufenem Zeitlimit sollten immer so bald wie möglich installiert werden.

Durch das Deaktivieren der Richtlinie wird dieser Registrierungsschlüssel auf 0 (null) festgelegt, sodass ein Nullwert dazu führen sollte, dass die Updates beim Systemstart nicht installiert werden. Stattdessen sollte das Update zum nächsten geplanten Zeitpunkt erneut geplant werden.

RebootWarning
Timeout

HKEY_LOCAL_MACHINE \Software\
Policies \Microsoft\Windows \WindowsUpdate\AU

 

5 (5 Minuten)

Dauer des Countdowns (in Minuten) der Neustartwarnung nach dem Installieren von geplanten Updates oder von Updates mit Zeitlimit.

Min = 1 (1 Minute)

Max = 30 (30 Minuten)

NoAutoRebootWith
LoggedOnUsers

HKEY_LOCAL_MACHINE \Software\
Policies \Microsoft\Windows \WindowsUpdate\AU

 

0 (bei Bedarf automatischer Neustart)

Boolescher Wert, der angibt, ob nach dem Installieren von geplanten Updates oder von Updates mit Zeitlimit neu gestartet werden soll.

0 = Falsch (Automatischen Neustart zulassen)

1 = Wahr (Automatischen Neustart nicht zulassen)

AutoInstall
MinorUpdates

HKEY_LOCAL_MACHINE \Software\
Policies \Microsoft\Windows \WindowsUpdate\AU

 

0

Boolescher Wert, der angibt, ob kleinere Updates (Updates ohne Arbeitsunterbrechungen) automatisch ohne Eingabeaufforderung an den Benutzer automatisch installiert werden können.

0 = Falsch (Kleinere Updates wie andere Updates behandeln)

1 = Wahr (Kleinere Updates automatisch installieren)

Explorer\?
NoWindowsUpdate

HKEY_CURRENT_ USER
\Software\
Microsoft \Windows \CurrentVersion
\Policies

 

(keiner)

Blockiert den Zugriff eines Benutzers auf die Windows Update-Website. Wenn diese Einstellung auf 1 festgelegt ist, wird Folgendes blockiert:

Die Windows Update-Verknüpfung im Startmenü wird entfernt. (Wird erst nach dem Neustart von Explorer.exe wirksam.)

Die Verknüpfung Windows Update im Menü Extras von Internet Explorer wird entfernt. (Wird erst nach dem Neustart von Internet Explorer wirksam.)

Wenn Wupdmgr.exe manuell gestartet wird, wird die Fehlermeldung angezeigt, dass Windows Update deaktiviert ist.

Wenn der Benutzer manuell zu Windows Update navigiert, zeigt die WU-Website selbst den Fehler Zugriff verweigert an.

WindowsUpdate
\DisableWindowsUpdate
Access

HKEY_CURRENT_USER
\Software\
Microsoft\Windows
\CurrentVersion
\Policies

 

(keiner)

Blockiert alle Aspekte der Benutzerinteraktion mit dem Dienst Windows Update, einschließlich automatischer Updates und API-Aufrufe. In Software Update Services (SUS) 1.0 wird dadurch Folgendes blockiert (wenn die Einstellung auf 1 festgelegt ist):

Die WU-Website zeigt den Fehler Zugriff verweigert an. (Der Benutzer kann die Website dennoch über die üblichen Mechanismen aufrufen.)

Der Geräte-Manager überprüft Windows Update nicht auf Treiberupdates, wenn er im Kontext des aktuellen Benutzers gestartet wird.

Automatische Updates fordern den Benutzer auch dann nicht zur Eingabe auf, wenn der Benutzer Administrator ist. (Automatische Updates sind jedoch weiterhin funktionsfähig, z. B. im geplanten Modus.)

In Windows Update Services wurden folgende Änderungen vorgenommen:

Die Benutzeroberfläche der automatischen Updates wird nur im Zusammenhang mit der Windows Update-Website blockiert, nicht im Zusammenhang mit dem Windows Update Services-Server.

Alle API-Aufrufe für diesen Benutzer schlagen fehl, wenn er versucht, den Dienst Windows Update aufzurufen. Beim Windows Update Services-Server ist dies dagegen nicht der Fall.

Wenn Wupdmgr.exe manuell gestartet wird, wird die Fehlermeldung angezeigt, dass Windows Update deaktiviert ist.

Intern kommuniziert der Agent während eines Aufrufs eines Benutzers, für den dieser Wert festgelegt ist, nie mit Windows Update.

DisablePatch

HKEY_LOCAL_MACHINE
\Software\
Policies\Microsoft
\Windows
\Installer

 

(keiner)

Deaktiviert die Patchfunktionalität von Windows Installer. Wenn diese Richtlinie festgelegt ist, versucht der Windows Update Services-Client nicht, MSP-Pakete zu installieren. Der Client erkennt sie jedoch, damit er sie dem Windows Update Services-Server und API-Aufrufern (z. B. MBSA) melden kann.

DisableMSI

HKEY_LOCAL_MACHINE
\Software\
Policies\Microsoft
\Windows
\Installer

 

(keiner)

Deaktiviert die Funktionalität von Windows Installer. Wenn diese Richtlinie festgelegt ist, versucht der Windows Update Services-Client nicht, MSP- oder MSI-Pakete zu installieren. Der Client erkennt sie jedoch, damit er sie dem Windows Update Services-Server und API-Aufrufern (z. B. MBSA) melden kann.

Muss mein Code geändert werden, damit er mit Windows XP Service Pack 2 funktionsfähig ist?

Da weder Software Update Services (SUS) 1.0 noch vorherige Versionen der automatischen Updates APIs anboten, müssen Sie den Code nicht ändern, damit er mit automatischen Updates funktionsfähig ist.

Richtlinienergebnissatz

Wozu dient der Richtlinienergebnissatz?

Der Richtlinienergebnissatz (Resultant Set of Policy, RSOP) von Gruppenrichtlinie meldet Gruppenrichtlinieneinstellungen, die auf einen Benutzer oder Computer angewendet werden. Die Gruppenrichtlinienergebnisse in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) fordern RSOP-Daten von einem Zielcomputer an und zeigen diese in einem Bericht im HTML-Format an. Die Gruppenrichtlinienmodellierung fordert denselben Informationstyp an. Die gemeldeten Daten stammen allerdings von einem Dienst, der den Richtlinienergebnissatz für eine Kombination aus Computer und Benutzer simuliert. Diese Simulation wird auf einem Domänencontroller unter Windows Server 2003 ausgeführt und dann zur Anzeige an den Computer mit GPMC zurückgegeben. Schließlich stellt die Microsoft Management Console (MMC) für den Richtlinienergebnissatz eine alternative Anzeigemöglichkeit für diese Informationen bereit, obwohl im Allgemeinen die Gruppenrichtlinienergebnisse die bevorzugte Methode darstellen.

Für wen ist diese Funktion gedacht?

Gruppenrichtlinie-Administratoren in einer Active Directory-Domänenumgebung. Außerdem könnte der Richtlinienergebnissatz für IT-Experten interessant sein, die die Anwendung der Gruppenrichtlinie planen oder überprüfen müssen.

Welche vorhandene Funktionalität ändert sich in Windows XP Service Pack 2?

Verwendung des Richtlinienergebnissatzes mit aktiviertem Windows-Firewall

Detaillierte Beschreibung

In Windows XP Service Pack 2 ist der Windows-Firewall standardmäßig aktiviert. Eingehende Anforderungen für nicht geöffnete Ports werden - im Gegensatz zu Antworten auf vom Computer stammende Anforderungen - vom Windows-Firewall blockiert. Diese Blockierung wirkt sich auf die Verwendung des Richtlinienergebnissatzes im gesamten Netzwerk aus.

Weitere Informationen zum Windows-Firewall finden Sie in diesem Dokument unter "Windows-Firewall".

Warum ist diese Änderung wichtig? Zur Minderung welcher Probleme trägt dies bei?

Vor Windows XP Service Pack 2 enthielt Windows XP einen standardmäßig deaktivierten Windows-Firewall. Der Benutzer musste einen Assistenten ausführen oder durch den Ordner Netzwerkverbindungen navigieren, um den Windows-Firewall manuell zu aktivieren. Dies erwies sich für viele Benutzer als zu schwierig und führte dazu, dass viele Computer keinen Firewallschutz hatten.

Durch die standardmäßige Aktivierung des Windows-Firewalls ist der Computer besser vor zahlreichen netzwerkbasierten Angriffen geschützt. Der jüngste MSBlaster-Angriff hätte vermutlich viel weniger Schaden angerichtet, wenn der Windows-Firewall standardmäßig aktiviert gewesen wäre, und zwar unabhängig davon, ob die aktuellen Patches installiert gewesen wären.

Welche Funktionsweisen haben sich geändert? Gibt es Abhängigkeiten?

Es gibt in Windows XP Service Pack 2 zwei wichtige Änderungen am Richtlinienergebnissatz.

Sobald der Windows-Firewall auf einem Computer unter Windows XP Service Pack 2 installiert ist, ist der Remotezugriff auf RSOP-Daten von diesem Zielcomputer aus nicht mehr möglich.

Wenn der Windows-Firewall aktiviert ist und GPMC ausgeführt wird, um Gruppenrichtlinienergebnisse oder die Gruppenrichtlinienmodellierung zum Abrufen von RSOP-Daten auf einem Computer unter Windows XP Service Pack 2 zu verwenden, können diese Daten nicht abgerufen werden.

Wie werden diese Probleme behoben?

Die folgende Tabelle fasst die Änderungen zusammen, die für die vollständige Unterstützung von RSOP-Remoteaufgaben beim Ausführen von Windows XP Service Pack 2 erforderlich sind. Weitere Details finden Sie in den nachstehenden Abschnitten.

AufgabeZielcomputerVerwaltungscomputer

Generieren von Gruppenrichtlinienergebnissen

Aktivieren Sie die Gruppenrichtlinieneinstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen.

Diese Gruppenrichtlinieneinstellung befindet sich in Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall\[Domänenprofil | Standardprofil\.

GPMC mit SP1

Keine Aktion erforderlich

RSOP-Snap-In

Aktivieren Sie Windows-Firewall: Programmausnahmen festlegen. Konfigurieren Sie die Programmausnahmeliste mit dem vollständigen Pfad zu Unsecapp.exe, sodass die WMI-Nachrichten übertragen werden können. Bei einer Standardinstallation befindet sich Unsecapp.exe im Ordner C:\Windows\System32\Wbem.

Aktivieren Sie die Richtlinie Windows Firewall: Portausnahmen festlegen, um Port 135 zu öffnen.

Delegieren des Zugriffs auf Gruppenrichtlinienergebnisse

Aktivieren Sie die Gruppenrichtlinieneinstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen.

Konfigurieren Sie die folgenden DCOM-Sicherheitseinstellungen:

DCOM: Computerzugriffseinschränkungen...

DCOM: Computerstarteinschränkungen...

Diese Richtlinieneinstellungen befinden sich in Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.

Keine Änderungen notwendig

Remotebearbeiten eines lokalen Gruppenrichtlinienobjekts

Aktivieren Sie die Richtlinieneinstellung Windows-Firewall: Ausnahme für Datei- und Druckerfreigabe zulassen.

Diese Richtlinieneinstellung befindet sich in Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall\[Domänenprofil | Standardprofil]\.

Keine Änderungen notwendig

Verwalten von Remote-Richtlinienergebnissätzen mit GPMC SP1

Die erste Version von GPMC verwendete einen Rückrufmechanismus beim Warten auf die Ergebnisse einer Anforderung für Gruppenrichtlinienergebnisse oder für die Gruppenrichtlinienmodellierung. Der Verwaltungscomputer muss diese Antwort abhören. Da der Windows-Firewall aktiviert ist, blockiert Windows XP Service Pack 2 diese Antworten. Obwohl dieses Problem durch das Öffnen der entsprechenden Ports gelöst werden kann, wird durch das Verwenden der aktualisierten Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC, mit Service Pack 1) die Verwendung des Rückrufmechanismus vollständig entfernt. Microsoft empfiehlt das Installieren von GPMC mit Service Pack 1, da dies die Funktionsfähigkeit der Gruppenrichtlinienergebnisse und der Gruppenrichtlinienmodellierung ohne Öffnen von Ports auf dem Verwaltungscomputer ermöglicht. Informationen zum Installieren von GPMC mit Service Pack 1 finden Sie im Artikel zur Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 im Microsoft Download Center unter http://go.microsoft.com/fwlink/?LinkId=23529.

Um den Richtlinienergebnissatz remote zu verwalten, müssen Sie auf den Zielcomputern die Gruppenrichtlinieneinstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen aktivieren.

Verwalten von Remote-Richtlinienergebnissätzen mit dem RSOP-MMC-Snap-In

Um den Richtlinienergebnissatz mithilfe des RSOP-MMC-Snap-Ins remote zu verwalten, muss der Zielcomputer die entsprechenden Netzwerkports abhören, um sicherzustellen, dass eingehende RSOP-Anforderungen bearbeitet werden können. Dies ist über die Gruppenrichtlinie mit folgenden Richtlinieneinstellungen möglich:

Aktivieren Sie die Gruppenrichtlinieneinstellung Windows-Firewall: Programmausnahmen festlegen, um Unsecapp.exe zuzulassen. Stellen Sie sicher, dass Sie den vollständigen Pfad zu Unsecapp.exe eingeben.

Aktivieren Sie die Gruppenrichtlinieneinstellung Windows-Firewall: Portausnahmen festlegen, um Port 135 zu öffnen. Klicken Sie auf Anzeigen und geben Sie 135:TCP:*:Enabled:135 ein.

Hinweis   Das Aktivieren dieser Richtlinieneinstellung ist nicht notwendig, wenn die Gruppenrichtlinieneinstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen auf dem Verwaltungscomputer aktiviert ist.

Vorsicht   Das Aktivieren der Gruppenrichtlinieneinstellung Windows-Firewall: Portausnahmen festlegenlässt möglicherweise auch zu, dass unerwünschte Daten an diesem Port akzeptiert werden. Überprüfen Sie diese Gruppenrichtlinieneinstellung vollständig, bevor Sie sie in der Umgebung aktivieren.

Delegieren des Zugriffs auf Gruppenrichtlinienergebnisse

Die Gruppenrichtlinienergebnisse und das RSOP-Snap-In können nur remote verwendet werden, wenn die Person, von der die Anforderung stammt, lokaler Administrator auf dem Zielcomputer ist. Seit Windows Server 2003 steht ein Delegierungsmodell zur Verfügung, das das Delegieren dieses Rechtes an Benutzer zulässt, die nicht Administratoren auf dem Zielcomputer sind. Dieses Szenario tritt häufig auf, wenn Helpdeskpersonal auf Computer zugreifen muss, ohne auf diesen Computern als Administrator festgelegt zu werden.

In Windows XP Service Pack 2 wurde das Sicherheitsmodell für die (von RSOP verwendete) DCOM-Authentifizierung verstärkt. Selbst wenn die RSOP-Delegierung korrekt konfiguriert wurde, verhindert diese Verstärkung, dass lokale Nichtadministratoren RSOP-Informationen von einem Zielcomputer abrufen. Dieses Problem hat keine Auswirkung auf die Gruppenrichtlinienmodellierung, da die Anforderung simulierter RSOP-Daten an einen Domänencontroller unter Windows Server 2003 gestellt wird, der per Definition nicht Windows XP ausführt.

Windows XP Service Pack 2 stellt eine mit der DCOM-Authentifizierung verbundene Methode zum Verwalten der Benutzer und Gruppen bereit. Diese Liste kann über die Gruppenrichtlinie verwaltet werden. Um die fortgesetzte Verwendung delegierter Richtlinienergebnissätze zuzulassen, müssen Benutzer, denen Sie dieses Recht erteilen möchten, auch über das DCOM-Authentifizierungsmodell zugreifen können. Weitere Informationen zu den Sicherheitsänderungen an DCOM in Windows XP Service Pack 2 finden Sie weiter oben in diesem Dokument unter "DCOM".

Um den Zugriff auf Gruppenrichtlinienergebnisse zu delegieren, müssen Sie die folgenden Schritte abschließen:

1.

Aktivieren Sie auf den Zielcomputern die Gruppenrichtlinieneinstellung Windows-Firewall: Remoteverwaltungsausnahme zulassen.

2.

Legen Sie auf den Zielcomputern die folgenden DCOM-Sicherheitsrichtlinieneinstellungen fest. (Sie befinden sich in Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen).

DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax

1.

Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Eigenschaften.

2.

Klicken Sie auf Sicherheit bearbeiten. Daraufhin wird Zugriffsberechtigungen geöffnet.

3.

Klicken Sie auf Hinzufügen. Daraufhin wird das Dialogfeld zur Auswahl von Benutzern, Computern oder Gruppen geöffnet.

4.

Geben Sie die gewünschten Delegierungsziele ein.

DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax

1.

Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Eigenschaften.

2.

Klicken Sie auf Sicherheit bearbeiten. Daraufhin wird Zugriffsberechtigungen geöffnet.

3.

Klicken Sie auf Hinzufügen. Daraufhin wird das Dialogfeld zur Auswahl von Benutzern, Computern oder Gruppen geöffnet.

4.

Geben Sie die gewünschten Delegierungsziele ein.

Remotebearbeiten eines lokalen Gruppenrichtlinienobjekts

Um ein lokales Gruppenrichtlinienobjekt remote zu bearbeiten, müssen Sie auf den Zielcomputern die folgende Richtlinieneinstellung aktivieren: Windows Firewall: Ausnahme für Datei- und Druckerfreigabe zulassen.

Die Richtlinieneinstellung befindet sich in Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall\[Domänenprofil|Standardprofil]\.

Sicherheitscenter

Das Sicherheitscenter ist ein neuer Dienst in Windows XP Service Pack 2, der als zentrale Anlaufstelle für das Ändern von Sicherheitseinstellungen und für weitere Informationen zur Sicherheit dient und dazu beiträgt, sicherzustellen, dass der Computer des Benutzers auf dem aktuellen Stand ist. Sie können das Sicherheitscenter verwenden, indem Sie auf das Symbol Sicherheitscenter in der Systemsteuerung doppelklicken.

Wozu dient das Sicherheitscenter?

Der Dienst Sicherheitscenter wird als Hintergrundprozess ausgeführt und überprüft den Zustand der folgenden Komponenten auf dem Computer des Benutzers:

Firewall

Das Sicherheitscenter überprüft, ob der Windows-Firewall aktiviert oder deaktiviert ist. Außerdem wird überprüft, ob einige andere Softwarefirewalls vorhanden sind, indem bestimmte von teilnehmenden Anbietern zur Verfügung gestellte WMI-Anbieter abgefragt werden.

Virenschutz

Das Sicherheitscenter überprüft mithilfe von Abfragen für bestimmte, von teilnehmenden Anbietern zur Verfügung gestellte WMI-Anbieter, ob Antivirusprogramme vorhanden sind. Wenn die Informationen zur Verfügung stehen, bestimmt der Dienst Sicherheitscenter außerdem, ob die Software auf dem aktuellen Stand ist und ob Echtzeitscannen aktiviert ist.

Automatische Updates

Das Sicherheitscenter überprüft, ob automatische Updates auf die empfohlene Einstellung festgelegt sind, bei der wichtige Updates automatisch auf den Computer des Benutzers gedownloadet und installiert werden. Wenn automatische Updates deaktiviert oder nicht auf die empfohlenen Einstellungen festgelegt sind, stellt das Sicherheitscenter geeignete Empfehlungen bereit.

Wenn eine Komponente fehlt oder nicht mit der Sicherheitsrichtlinie übereinstimmt, platziert das Sicherheitscenter ein rotes Symbol im Infobereich der Taskleiste des Benutzers und zeigt außerdem bei der Anmeldung eine Warnmeldung an. Diese Meldung enthält Links zum Öffnen der Benutzeroberfläche des Sicherheitscenters, die eine Meldung zum Problem anzeigt und Empfehlungen zur Behebung bereitstellt.

Wenn Benutzer Firewall- oder Antivirusprogramme ausführen, die vom Sicherheitscenter nicht erkannt werden, kann der Benutzer festlegen, dass das Sicherheitscenter Warnungen für diese Komponente umgeht.

In der Systemsteuerung dient das Sicherheitscenter auch als Ausgangspunkt für Systemsteuerungselemente, die sich auf Sicherheit und sicherheitsbezogene Weblinks beziehen.

Für wen ist diese Funktion gedacht?

Diese Funktion ist standardmäßig für alle Computer in Arbeitsgruppen gedacht, d. h. für Computer, die nicht Mitglied einer Windows-Domäne sind.

Mithilfe einer Gruppenrichtlinieneinstellung können Administratoren dieses Feature für Computer in einer Windows-Domäne aktivieren.

Warum ist diese Änderung wichtig?

Diese Änderung stellt einen einfachen automatischen Warnungsmechanismus bereit, der Benutzer bei der Erweiterung der Computersicherheit unterstützt und dazu beiträgt, Risiken durch netzwerkbasierte Bedrohungen zu vermindern.

Zur Minderung welcher Probleme trägt dies bei?

Benutzer sind oft unsicher, welche Sicherheitstechnologien und -einstellungen ihre Computer am besten vor netzwerkbasierten Angriffen schützen. Dieses Problem wird immer dringlicher, da sich Viren ausbreiten und mehr Benutzer mit Breitbandverbindungen über lange Zeiträume online sind. Das Sicherheitscenter bietet Benutzern eine einfache Möglichkeit, mithilfe derer sie sicherstellen können, dass sie sich hinter einem Firewall befinden, dass sie aktuelle Antivirusprogramme ausführen und dass die Computer automatisch mit aktuellen wichtigen Updates von Microsoft aktualisiert werden.

Welche Funktionsweisen haben sich geändert?

Das Sicherheitscenter selbst verursacht kein geändertes Verhalten, das sich auf Anwendungen oder Dienste auswirken könnte. Das Sicherheitscenter trägt jedoch dazu bei, die Verwendung von sicherheitsbezogenen Komponenten von Microsoft und Drittanbietern zu erzwingen. Diese können zu Kompatibilitätsproblemen oder anderen Problemen führen. Beispielsweise finden Sie im Abschnitt "Windows-Firewall" dieses Dokuments Probleme, die aufgrund der Kompatibilität mit dieser Komponente auftreten könnten.

In Windows XP Service Pack 1 konnte das Service Pack mit der Option /quiet installiert werden, um die Installation des Service Packs für den Benutzer transparent ablaufen zu lassen. Wenn jedoch Windows XP Service Pack 2 mit der Option /quiet oder /q installiert wird, wird bei der ersten interaktiven Anmeldung nach der Installation das Sicherheitscenter in der Systemsteuerung angezeigt, sodass Benutzer die Sicherheitseinstellungen überprüfen können.

Hinweis  Wenn Windows XP Service Pack 2 in einer Domänenumgebung installiert wird, wird die Funktion Sicherheitscenter durch eine Gruppenrichtlinieneinstellung gesteuert, die standardmäßig nicht aktiviert ist.

Wie werden diese Probleme behoben?

Es gibt kein geändertes Verhalten, das sich auf Anwendungen oder Dienste auswirken könnte (Ausnahmen siehe oben).

Welche vorhandene Funktionalität ändert sich in Windows XP Service Pack 2?

In früheren Versionen von Windows XP gab es in der Systemsteuerung keine Kategorie Sicherheitscenter. Stattdessen waren einzelne sicherheitsbezogene Systemsteuerungselemente auf die Systemsteuerungskomponenten verteilt.

Welche Einstellungen wurden in Windows XP Service Pack 2 hinzugefügt oder geändert?

Registrierungseinstellungen

Es gibt drei Registrierungseinstellungen für das Sicherheitscenter. Diese Einstellungen bestimmen, ob der Benutzer Warnungen für eine bestimmte Funktion empfängt. Wenn ein Schlüssel den Wert 0 hat oder nicht vorhanden ist, sind das Benachrichtigungssymbol und das Warnungssystem für diese Funktion aktiviert. Wenn ein Wert vorhanden ist und nicht 0 entspricht, sind das Benachrichtigungssymbol und das Warnungssystem für diese Funktion deaktiviert.

Wenn das Sicherheitscenter aktiviert ist, werden die drei in der nachstehenden Tabelle beschriebenen Einstellungen auch auf der Benutzeroberfläche des Sicherheitscenters angezeigt.

Einstellungsname Pfad Vorheriger Standardwert (falls zutreffend)StandardwertMögliche Werte

AntiVirusDisableNotify (DWORD)

HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Security Center

Nicht zutreffend

0

0,1

FirewallDisableNotify (DWORD)

HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Security Center

Nicht zutreffend

0

0,1

UpdatesDisableNotify (DWORD)

HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Security Center

Nicht zutreffend

0

0,1

Gruppenrichtlinieneinstellungen

Es gibt eine Gruppenrichtlinieneinstellung für das Sicherheitscenter. Diese Einstellung bestimmt, ob die Benutzeroberfläche und das Warnungssystem des Sicherheitscenters für Benutzer, deren Computer Mitglieder einer Windows-Domäne sind, aktiviert oder nicht verfügbar sind. Wenn diese Einstellung nicht aktiviert, auf Aus festgelegt oder nicht konfiguriert ist, steht das Sicherheitscenter auf Computern, die Mitglied einer Windows-Domäne sind, nicht zur Verfügung. Wenn die Einstellung auf Ein festgelegt ist, ist das Sicherheitscenter auf allen Computern aktiviert, unabhängig davon, ob sie Mitglieder einer Windows-Domäne sind. Es ist nicht möglich, mit der Gruppenrichtlinie das Sicherheitscenter für Benutzer zu deaktivieren, die nicht Mitglieder einer Windows-Domäne sind.

Wenn eine Organisation das Sicherheitscenter auf den Computern der Organisation verwenden möchte, muss die Gruppenrichtlinieneinstellung in Ein geändert werden. Wenn sich ein Benutzer zum ersten Mal bei einem Computer anmeldet, der im Rahmen der Installation von Windows XP Service Pack 2 mit dem Sicherheitscenter aktualisiert wurde, wird das Sicherheitscenter geöffnet, damit der Benutzer die neue Funktion kennen lernen kann. Es wird empfohlen, die Benutzer über das zu erwartende Verhalten zu informieren, damit dies nicht unnötig Probleme bereitet.

Einstellungsname Pfad Vorheriger Standardwert (falls zutreffend)StandardwertMögliche Werte

Sicherheitscenter aktivieren (nur Domänencomputer)

Administrative Vorlagen\System\Sicherheitscenter

Nicht zutreffend

Nicht konfiguriert

Ein, Aus

Muss mein Code geändert werden, damit er mit Windows XP Service Pack 2 funktionsfähig ist?

Der Code muss nicht geändert werden, um mit dem Sicherheitscenter funktionsfähig zu sein.

Setup

Wozu dient Setup?

Setup ist das Programm, das das Betriebssystem auf dem Computer installiert und konfiguriert. Bei der ursprünglichen Installation von Windows XP installiert und konfiguriert Setup das Betriebssystem so, dass es mit dem Computer ordnungsgemäß funktionsfähig ist.

Viele Programme, die zum Installieren und Konfigurieren von Softwareprogrammen verwendet werden, heißen Setup. In Windows XP gibt es jedoch zwei verschiedene Programme, die Programme installieren und konfigurieren, sobald das Betriebssystem betriebsbereit ist. Wenn Windows XP Service Pack 2 oder ein anderes Softwareupdate unter Windows XP installiert wird, aktualisiert und ändert das Installationsprogramm für Service Packs die vorhandene Installation von Windows XP. Wenn eine Anwendung, wie z. B. Microsoft Office, installiert, konfiguriert oder aktualisiert wird, ist Windows Installer für diese Aufgabe zuständig.

Für wen ist diese Funktion gedacht?

Alle Benutzer und Administratoren, die Windows XP Service Pack 2 installieren oder bereitstellen, sollten sich mit den Änderungen in dieser Funktion vertraut machen.

Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?

Paketinstallationsprogramm für Windows

Detaillierte Beschreibung

Das Paketinstallationsprogramm für Windows (Update.exe) installiert Windows XP Service Pack 2. Es handelt sich dabei um eine andere Installationstechnologie als bei der Installation des gesamten Betriebssystems. Die Versionen der Paketinstallationsprogramme in Service Pack 1 für Windows XP und in Service Pack 2 unterscheiden sich geringfügig. Eine vollständige Erläuterung des Paketinstallationsprogramms finden Sie im Artikel zu Update.exe, dem Paketinstallationsprogramm für Windows und Windows-Komponenten, auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=26004.

Zu den Änderungen im Paketinstallationsprogramm in Windows XP Service Pack 2 zählen:

Befehlszeilenoptionen

Microsoft hat einen Standard für Installationsprogrammoptionen entwickelt, der zu einem späteren Zeitpunkt in diesem Jahr zur Verfügung stehen wird. Die Optionsfunktionen /D und /S wurden nicht durch neue Optionen ersetzt. Die alten Optionen sind noch gültig. Die folgende Tabelle beschreibt die alten, neuen und Legacyoptionen für die Verwendung mit dem Paketinstallationsprogramm.

Alte OptionNeue OptionBeschreibung

Keine

/Uninstall

Entfernt das Update oder Service Pack.

/?

/Help

Zeigt Hilfetext an.

/D:Ordnername

Keine Änderung

Sichert bei Service Pack-Installationen Dateien im angegebenen Ordner.

Keine

/ER

Aktiviert erweiterte Rückgabecodes (Weitere Informationen zu erweiterten Rückgabecodes finden Sie in Anhang F im Whitepaper zu Update.exe, dem Paketinstallationsprogramm für Windows.

/F

/F

Erzwingt das Schließen anderer Anwendungen, wenn der Computer nach der Installation neu gestartet wird.

Keine

/Forcerestart

Erzwingt den Neustart nach Beendigung der Installation.

/L

/L

Listet installierte Hotfixes auf (nur Windows-Updates).

/N

/N

Sichert keine Dateien zum Entfernen des Service Packs oder Hotfixes. Da es in Software keine Schaltfläche Entfernen für den Hotfix gibt, kann er nicht deinstalliert werden.

/O

/O

Überschreibt OEM-Dateien ohne Nachfrage.

/Q

/Quiet

Verwendet den stillen Modus, der dem unbeaufsichtigten Modus entspricht, mit der Ausnahme, dass die Benutzeroberfläche ausgeblendet ist. Während der Installation werden keine Eingabeaufforderungen angezeigt.

/S:Ordnername

Keine Änderung

Kombiniert das Betriebssystemabbild mit Windows XP SP2 in einem freigegebenen Verteilungsordner für eine integrierte Installation. Geben Sie bei Verwendung dieser Option den Namen des freigegebenen Verteilungsordners nach dem Doppelpunkt ein. (Nur Service Pack-Funktion).

/U

/Passive

Verwendet den unbeaufsichtigten Setupmodus. Während der Installation werden nur schwerwiegende Fehler und eine Statusanzeige angezeigt.

/Z

/Norestart

Startet den Computer nach Beendigung der Installation nicht neu.

Befehlszeilenoption /O

Die Befehlszeilenoption /O wurde zum Installationsprogramm hinzugefügt, um zu verhindern, dass Update.exe eine ausführliche Suche nach vom OEM bereitgestellten Dateien, wie z. B. Videotreibern, ausführt. Verwenden Sie diese Option nur, wenn alle vom OEM bereitgestellten Dateien auf dem System überschrieben werden sollen. Standardmäßig werden OEM-Dateien nicht überschrieben.

Leistungsüberlegungen

Aufgrund der zahlreichen Änderungen in Windows XP SP2 ist das Service Pack recht groß. Zusammen mit den zusätzlichen Funktionen und der zusätzlichen Funktionalität in Windows XP SP2 kann dies die Installationsdauer verlängern. Wir empfehlen, mit einer Installationsdauer von mindestens 30 Minuten für Windows XP SP2 auf Standarddesktopcomputer-Konfigurationen zu rechnen. Die tatsächliche Installationsdauer hängt vom Typ und der Leistungsstufe des Computers ab und davon, ob Sie von einer CD installieren oder eine Expressinstallation über das Netzwerk ausführen.

Wenden Sie während der SP2-Installation keine Updates an.

Wenn Sie in einer Umgebung arbeiten, die ein Dienstprogramm zum automatischen Scannen und Anwenden von Updates oder Sicherheitsupdates verwendet, steht das Dienstprogramm möglicherweise im Konflikt mit der SP2-Installation und macht den Computer unbrauchbar. Dies kann geschehen, wenn sich SP2 in einem nicht vollständig abgeschlossenen Installations- oder Deinstallationsprozess befindet, z. B. beim Neustarten und Ausführen aller nachträglichen Prozesse. Wenn vor Abschluss von SP2 Updates für das System installiert werden, wird der Computer möglicherweise unbrauchbar.

Laptopinstallation: Netzbetrieb erforderlich während der Service Pack-Installation

Laptopcomputer oder tragbare Computer müssen während der Installation des Service Packs über das Netzteil betrieben werden. Hierbei handelt es sich um eine neue Voraussetzung für das Service Pack, damit der Computer nicht während der Installation aufgrund eines leeren Akkus heruntergefahren wird. Wenn der Computer während der Installation heruntergefahren wird, kann die Service Pack-Installation nicht an der Stelle fortgesetzt werden, an der sie abgebrochen wurde. Dies könnte zu einer fehlerhaften Installation des Betriebssystems führen.

Wenn Sie das Service Pack nicht im Netzbetrieb zu installieren versuchen, wird folgende Meldung angezeigt: Dieses Service Pack erfordert, dass der Computer über das Netzteil betrieben wird, bevor die Installation gestartet wird. Um mit der Service Pack-Installation fortzufahren, muss der Computer über das Netzteil betrieben werden.

Laptopinstallation: Ruhezustand während der Service Pack-Installation

Um den erfolgreichen Abschluss des Service Packs sicherzustellen, können Laptopcomputer und tragbare Computer während der Installation nicht in den Ruhezustand oder Standbymodus versetzt werden. Wenn der Computer während der Installation in den Ruhezustand versetzt wird, können Sie die Installation möglicherweise nicht fortsetzen. Um die erfolgreiche Installation des Service Packs sicherzustellen, sind der Ruhezustand und der Standbymodus während der Installation blockiert.

Verbesserte Wiederherstellung nach Installationsfehler

Falls die Service Pack-Installation nicht abgeschlossen wurde, findet in den meisten Fällen eine automatische Wiederherstellung statt. Wenn z. B. während der letzten Phasen der Installation ein Stromausfall auftritt, wird beim Neustarten des Computers automatisch die Service Pack-Deinstallationsprozedur gestartet. Es führt einen Rollback aller während der Service Pack-Installation vorgenommenen Änderungen durch.

Antivirusprogramme

Obwohl Antivirusprogramme beim Schützen eines Computers eine wichtige Rolle spielen, können sie sich auf den Gesamtzeitbedarf für das Installieren eines Service Packs auswirken. Durch das Deaktivieren des Antivirusprogramms während der Installation des Service Packs können Sie die Installationsdauer um bis zu 20 % reduzieren. Wenn Sie das Antivirusprogramm deaktivieren möchten, seien Sie sich der damit verbundenen Risiken bewusst, und achten Sie darauf, das Antivirusprogramm nach der Installation des Service Packs zu aktivieren.

Windows Installer 3.0

Wozu dient Windows Installer 3.0?

Der Dienst Windows Installer definiert und verwaltet ein Standardformat für Setup, Installation und Upgrades von Anwendungen. Es verfolgt Komponenten, wie z. B. Gruppen aus Dateien, Registrierungseinträgen und Verknüpfungen. Windows Installer ist ein systemresidenter Installationsdienst, der eine einheitliche Bereitstellung ermöglicht, sodass Administratoren und Benutzer freigegebene Ressourcen verwalten, Installationsprozesse anpassen, Entscheidungen über die Verwendung von Anwendungen treffen und Konfigurationsprobleme beheben können.

Windows Installer 3.0 ist als neue Version des Dienstes in Windows XP Service Pack 2 enthalten.

Für wen ist diese Funktion gedacht?

Diese Funktion ist gedacht für:

Anwendungsentwickler

Autoren von Anwendungssetupprogrammen

Systemadministratoren, die an der Softwareverteilung beteiligt sind

Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?

Unterstützung für Patchverwaltung

Detaillierte Beschreibung

Windows Installer 3.0 stellt die zugrunde liegende Infrastruktur für Softwareverteilungssysteme bereit, um Updates zielgerichtet für Windows Installer-basierte Anwendungen zu installieren. Erweiterte Inventurfunktionen ermöglichen Administratoren das Erkennen von Produkten, Funktionen, Komponenten und Patches über Benutzer- und Installationskontexte hinweg. Es werden drei neue Funktionen bereitgestellt, um vor dem Downloaden einer vollständigen Patchnutzlast auf den Zielcomputer die Notwendigkeit des Patches zu ermitteln. Es handelt sich um diese neuen Funktionen:

Die Funktion MsiEnumProductsEx zählt eine oder alle Instanzen von Produkten auf, die zurzeit in den angegebenen Kontexten angekündigt oder installiert sind.

Die Funktion MsiEnumPatchesEx zählt alle Patches in einem bestimmten Kontext oder für alle Kontexte auf. Bereits auf Produkte angewendete Patches werden aufgezählt. Registrierte Patches, die noch nicht auf Produkte angewendet wurden, werden aufgezählt.

Die Funktion MsiDetermineApplicablePatches bestimmt für einen Satz aus Patchdateien, XML-Dateien, XML-BLOBs und einer MSI-Datei, welche Patches in welcher Reihenfolge auf das Windows Installer-Paket anzuwenden sind. Die Funktion kann abgelöste oder veraltete Patches berücksichtigen. Die Funktion berücksichtigt keine auf dem System installierten Produkte oder Patches, die nicht im Satz angegeben sind.

Warum ist diese Änderung wichtig?

Die Patchverwaltungsinfrastruktur wird von Software Update Services (SUS) 2.0 verwendet, um Patches für Windows Installer-basierte Produkte zu ermitteln und anzuwenden. Dies bedeutet, dass mit Windows Installer 3.0 installierte Produkte leichter als in früheren Versionen mit SUS aktualisiert werden können.

Zur Minderung welcher Probleme trägt dies bei?

Windows Installer 3.0 und Software Update Services 2.0 tragen dazu bei, dass Computer leichter mit den aktuellen Patches für Windows Installer-basierte Anwendungen auf dem aktuellen Stand gehalten werden können. Sicherzustellen, dass aktuelle Patches auf die Services und Anwendungen angewendet werden, trägt dazu bei, Angriffe im Zusammenhang mit bekannten Sicherheitsrisiken zu verhindern.

Kleinere und zuverlässige Patches

Detaillierte Beschreibung

Autoren von Setupprogrammen können mithilfe von Windows Installer 3.0 Patchpakete (mit der Dateinamenerweiterung .msp) erstellen, die Microsofts Deltakomprimierungstechnologíe verwenden. Die Deltakomprimierung verwendet binäre Dateiunterschiede anstatt der vollständigen Datei und reduziert dadurch die Patchnutzlast erheblich. In vorherigen Versionen von Windows Installer führte die Verwendung von Deltakomprimierung manchmal dazu, dass das Installationsprogramm den Benutzer nach den Originalinstallationsmedien (z. B. nach der Original-CD einer Anwendung) fragte, die oft nicht zur Verfügung standen. Windows Installer 3.0 speichert die Basisversion von Dateien, die durch einen Patch geändert werden, und ruft die Basisdatei als Ziel für weitere Patches mit Deltakomprimierung ab. Autoren von Setupprogrammen sollten Patches erstellen, die Basisproduktversionen verwenden. Auf diese Weise müssen die Benutzer nicht mehr die Originalinstallationsmedien bereitstellen, um Patches erfolgreich anzuwenden.

Warum ist diese Änderung wichtig?

Benutzer halten eher ihre Anwendungspatches auf dem aktuellen Stand, wenn die Patchpakete klein und leicht zu downloaden sind und der Benutzer bei der Installation keine schwierigen Verfahren ausführen muss.

Zur Minderung welcher Probleme trägt dies bei?

Indem Sie sicherstellen, dass aktuelle Patches auf die Services und Anwendungen angewendet werden, tragen Sie dazu bei, Angriffe im Zusammenhang mit bekannten Sicherheitsrisiken zu verhindern.

Entfernen von Patches

Detaillierte Beschreibung

Windows Installer 3.0 unterstützt das Entfernen von Patches, obwohl manche Anwendungsentwickler möglicherweise Patches erstellen, die nicht entfernt werden können, z. B. wichtige Upgradepatches. Für die meisten Patches liegt eine unterstützende Dokumentation vor, in der Sie informiert werden, ob die Patches entfernt werden können.

Patches für Windows Installer-basierte Anwendungen können mithilfe der Systemsteuerung, der Eingabeaufforderung oder direkt durch Aufrufen der neuen Windows Installer 3.0-Funktion MsiRemovePatches entfernt werden. (Weitere Informationen zur Funktion MsiRemovePatches finden Sie im vorherigen Abschnitt.)

Wenn Sie einen Patch entfernen, wird der Computer dadurch in den gleichen Zustand wie vor dem Installieren versetzt. Der Zustand des Computers, einschließlich Dateien, Registrierungsschlüsseln usw., ist beim Installieren und Entfernen eines Patches identisch mit dem Zustand vor der Installation des Patches. Patches können in beliebiger Reihenfolge entfernt werden.

Windows Installer 3.0 verwendet zum Entfernen von Patches einen speziellen Neuinstallationsmodus. Vom Konzept her entspricht das Entfernen eines Patches einer Neuinstallation der vom Patch betroffenen Einheiten des Produkts. Dabei werden nur Dateien berücksichtigt, die beim Entfernen des Patches geändert werden; alle anderen Dateien im Produkt bleiben unberührt. Vom Patch betroffene Dateien werden in der Version wiederhergestellt, die das Produkt vor der Installation des Patches erwartete. Wenn ein Patch explizit einen vorhandenen Patch entfernt, wird durch das Entfernen des zweiten Patches der erste Patch wiederhergestellt. Wenn Sie Patches entfernen, die existierende Patches ablösen, wird der abgelöste Patch wiederhergestellt.

Außerdem können Patches, die Sie nicht explizit deinstallieren, auch entfernt werden, wenn sie nicht mehr zutreffen. Beispielsweise wird ein kleiner Patch, der auf ein kleineres Updates abzielt, implizit entfernt, wenn das kleinere Update entfernt wird.

Warum ist diese Änderung wichtig?

Benutzer und Administratoren werden Patches eher bereitstellen und installieren, wenn sie darauf vertrauen, dass die von einem Patch vorgenommenen Änderungen bei Bedarf zuverlässig rückgängig gemacht werden können.

Zur Minderung welcher Probleme trägt dies bei?

Diese Änderung beseitigt eine Hemmschwelle beim Bereitstellen von Patches. Sie stellt Benutzern und Administratoren einen Mechanismus bereit, mit dem Patches entfernt werden können, um mit potenziellen Anwendungskompatibilitätsproblemen umzugehen.

Unterstützung für Quelllisten

Detaillierte Beschreibung

Mit Windows Installer 3.0 können Administratoren die Liste der Quellen für Produkte und Patches besser verwalten. Neue Funktionen ermöglichen die vollständige statische Verwaltung der Produktquellen, einschließlich Netzwerk, URL und Medienquellen und ermöglichen den Zugriff zum Lesen, Bearbeiten und Ersetzen der Quelllisten von Microsoft Installer über einen externen Prozess. Windows Installer 3.0 enthält drei neue Funktionen zum Verwalten von Quelllisten:

Mit der neuen Funktion MsiSourceListEnumSources werden aktuelle Quellen für ein Produkt aufgezählt. Mit dieser Funktion kann, in Verbindung mit vorhandenen Funktionen, die zuletzt verwendete Quelle gelöscht und neue Quellen hinzugefügt werden, um Quellen für Produkte und Patches proaktiv zu verwalten, sodass mit dem Netzwerk verbundene Benutzer die Quellpfade für installierte Produkte nicht zurückverfolgen müssen.

Mit der neuen Funktion MsiSourceListAddMediaDisk können Administratoren die Volumebezeichnung und die Datenträgerkennung für die Verteilung benutzerdefinierter Medien für MSI-basierte Anwendungen ändern.

Mit der neuen Funktion MsiSourceListSetInfo können Administratoren die Medienpaketpfad-Eigenschaft ändern, sodass benutzerdefinierte Medien (CD oder DVD) mit mehreren Anwendungen erstellt werden können, mit denen mobile Benutzer ihre Installationen reparieren können.

Warum ist diese Änderung wichtig?

Zur Unterstützung der Anwendungsflexibilität, mancher Patchszenarien und der Installation bei Bedarf benötigt Windows Installer möglicherweise Zugriff auf die Installationsquellmedien der Anwendung. Diese Änderung ermöglicht Administratoren das bessere Verwalten der Quelllisten für Produkte.

Zur Minderung welcher Probleme trägt dies bei?

Administratoren können Produktquelllisten verwalten, um zur erfolgreichen Patchbereitstellung und -installation beizutragen. Sicherzustellen, dass aktuelle Patches auf die Services und Anwendungen angewendet werden, trägt dazu bei, Angriffe im Zusammenhang mit bekannten Sicherheitsrisiken zu verhindern.

Sequenzierung

Detaillierte Beschreibung

Mit der neuen Patchsequenztabelle von Windows Installer 3.0 können Autoren von Patches explizite Anweisungen für die Anwendungsreihenfolge von Updates auf Zielcomputern bereitstellen. Updates werden in einer einheitlichen und vorhersagbaren Reihenfolge auf Zielanwendungen angewendet. Die Reihenfolge, in der sie dem Computer physikalisch bereitgestellt werden, spielt dabei keine Rolle. Autoren können Dateien ohne Versionshinweise zuverlässig aktualisieren, indem sie die Patchsequenztabelle verwenden. Patches ohne Sequenztabelle werden in der Reihenfolge angewendet, in der sie Windows Installer bereitgestellt werden.

Warum ist diese Änderung wichtig?

Die Sequenzierung stellt sicher, dass die Ergebnisse beim Anwenden von Patches einheitlich und vorhersagbar sind. Dies ist besonders wichtig, wenn sich mehrere Patches auf dieselbe Datei oder Registrierungseinstellung auswirken.

Zur Minderung welcher Probleme trägt dies bei?

Administratoren können die Sequenzierung verwenden, um zur erfolgreichen Patchbereitstellung und -installation beizutragen. Sicherzustellen, dass aktuelle Patches auf die Services und Anwendungen angewendet werden, trägt dazu bei, Angriffe im Zusammenhang mit bekannten Sicherheitsrisiken zu verhindern.

Welche vorhandene Funktionalität ändert sich in Windows XP Service Pack 2?

FTP und GOPHER werden nicht mehr unterstützt

Detaillierte Beschreibung

Windows Installer 3.0 verwendet zur Behandlung von URL-Downloads ausschließlich WinHTTP. Frühere Versionen von Windows Installer verwendeten WinINet, um auf Standardinternetprotokolle zuzugreifen. WinHTTP unterstützt jedoch nicht dieselben Protokolle wie WinINet. Daher unterstützt Windows Installer 3.0 die Protokolle FTP und GOPHER nicht mehr. Die Protokolle HTTP, HTTPS und FILE werden noch unterstützt.

Weitere Informationen zur WinHTTP-Sicherheit finden Sie im Artikel zu WinHTTP unter http://go.microsoft.com/fwlink/?LinkId=23097.

Warum ist diese Änderung wichtig?

WinINet unterstützt keine Serverimplementierungen und sollte nicht über einen Dienst verwendet werden. WinHTTP ist sicherer und robuster als WinINet.

Zur Minderung welcher Probleme trägt dies bei?

WinHTTP ist wurde für die Verwendung in Systemdiensten sowie in HTTP-basierten Clientanwendungen entworfen. WinHTTP ist sicherer und robuster als WinINet.

Welche Funktionsweisen haben sich geändert?

Paketdownloads über die Protokolle FTP und GOPHER schlagen mit Windows Installer 3.0 fehl.

Wie werden diese Probleme behoben?

Wenn Anwendungen GOPHER oder FTP zum Downloaden von URL-Patches verwenden, müssen Sie die Anwendungen so ändern, dass das Protokoll HTTP, HTTPS oder FILE verwendet wird.

Der Dienst "Windows Installer" ist nicht mehr interaktiv

Detaillierte Beschreibung

Der Dienst Windows Installer wird im Sicherheitskontext des lokalen Systemkontos ausgeführt. In vorherigen Versionen von Windows war das Dienstattribut von Windows Installer auf SERVICE_INTERACTIVE_PROCESS festgelegt. Dadurch wurde der Dienst Windows Installer interaktiv. Ein interaktiver Dienst kann seine eigene Benutzeroberfläche anzeigen und Benutzereingaben empfangen. Er stellt möglicherweise ein Sicherheitsrisiko dar.

Aus diesem Grund ist der Dienst Windows Installer 3.0 nicht mehr interaktiv.

Warum ist diese Änderung wichtig?

Unter dem lokalen Systemkontext ausgeführte interaktive Dienste ermöglichen Benutzern das Bereitstellen von Meldungen für ein in einem anderen Sicherheitskontext ausgeführtes Programm und können das Auftreten bestimmter Angriffstypen ermöglichen.

Zur Minderung welcher Probleme trägt dies bei?

Benutzer können nicht mit dem Dienst Windows Installer interagieren.

Muss mein Code geändert werden, damit er mit Windows XP Service Pack 2 funktionsfähig ist?

Nein. Für Windows Installer 2.0 erstellte Installationspakete und Patches können mithilfe von Windows Installer 3.0 installiert werden. Windows Installer 3.0 ignoriert beim Installieren eines für Windows Installer 2.0 erstellten Pakets oder Patches die in Version 3.0 eingeführten neuen Datenbanktabellen.

Windows Update

Wozu dient Windows Update?

Windows Update hilft Benutzern, die Computer mit Patches und Softwareupdates für Komponenten von Microsoft Windows aktuell zu halten. Mit Windows Update können Benutzer Updates für das Betriebssystem, die Software und die Hardware des Computers auswählen. Die Website wird regelmäßig durch neuen Inhalt ergänzt, damit die Kunden jederzeit die neuesten Updates und Fehlerkorrekturen downloaden können, um den Computer zu schützen und dessen Funktionsfähigkeit zu gewährleisten.

Windows Update basiert auf Windows Update Services und gibt IT-Administratoren die Möglichkeit, Updates über die Windows Update-Server zu synchronisieren, Prioritäten für diese Updates festzulegen und sie dann in der gesamten Unternehmensumgebung zu verteilen.

Vor Windows XP Service Pack 2 stellte Windows Update nur den Dienst für die Komponenten bereit, die im Windows-Betriebssystem enthalten sind, wie z. B. Internet Explorer, Windows Media Player und Windows Messenger. Mit Windows XP Service Pack 2 stellt Windows Update mit Windows Update Services zwei Dienste bereit:

Windows Update. Dieser Dienst stellt Sicherheitspatches und Updates für Windows-Komponenten bereit. Dieser Dienst stellt außerdem weiterhin Treiber bereit.

Microsoft Update. Dieser Dienst stellt Sicherheitspatches und Updates für Windows-Komponenten und andere Microsoft-Produktanwendungen bereit. Zu den ersten Anwendungen, die neben Windows-Komponenten für Microsoft Update aktiviert werden, zählen SQL, Exchange und Office. Microsoft Update ist eine Obermenge von Windows Update.

Windows-Benutzer können mit beiden Diensten über die Website oder über automatische Updates interagieren. Zum Zeitpunkt der Schriftlegung steht für Kunden nur der Dienst Windows Update zur Verfügung; Microsoft Update wird zu einem späteren Zeitpunkt zur Verfügung gestellt.

Für wen ist diese Funktion gedacht?

Die Windows Update- und Microsoft Update-Websitefunktionen treffen für alle Windows-Internetbenutzer zu, die automatische Updates nicht aktivieren möchten und das Windows-Betriebssystem und die Anwendungen geschützt und aktuell halten möchten. Das Windows Update-Websitefunktion ist außerdem für diejenigen Windows-Benutzer notwendig, die an nicht wichtigen Updates interessiert sind, die nicht über die automatischen Updates zur Verfügung gestellt werden.

Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?

Updates für Microsoft-Anwendungen

Detaillierte Beschreibung

Der neue Microsoft Updatedienst stellt Sicherheitspatches und Updates für Microsoft-Anwendungen, wie z. B. Office, SQL und Exchange, bereit. Wenn Benutzer zur Microsoft Update-Website navigieren oder automatische Updates aktivieren, empfangen sie jetzt einheitlich alle relevanten Updates. Windows und alle unterstützten Anwendungen werden automatisch geschützt, und Benutzer müssen nicht mehr zu mehreren Stellen navigieren, um nach Updates zu suchen.

Warum ist diese Änderung wichtig?

Vorher mussten Benutzer zu mehreren Stellen navigieren, um Windows-Komponenten und Anwendungen zu schützen. Wenn Benutzer jetzt automatische Updates aktivieren, werden Windows und zugeordnete Anwendungen geschützt und aktuell gehalten. Benutzer, die zur Microsoft Update-Website gehen, erhalten alle Updates mit hoher Priorität an einer Stelle.

Zur Minderung welcher Probleme trägt dies bei?

Diese Änderung mildert Situationen, in denen Benutzer das Installieren von Updates für andere Windows-Anwendungen vernachlässigen. Die Benutzer bleiben vor Angriffen geschützt, die auf bekannte Sicherheitsrisiken in Windows oder anderen Microsoft-Anwendungen abzielen.

Welche Funktionsweisen haben sich geändert?

Benutzer erhalten jetzt einheitlich Sicherheitsupdates und Patches mit hoher Priorität für Windows-Inhalte und andere Anwendungen, indem sie zur Microsoft Update-Website navigieren und auf Schnellinstallation klicken oder automatische Updates aktivieren. Benutzer erhalten Sicherheitsupdates und Patches für Windows-Inhalte und andere Anwendungen über einen Mechanismus und an einer Stelle. Benutzer, die zur Microsoft Update-Website navigieren und auf die Option Benutzerdefiniert klicken, erhalten Sicherheitsupdates und Patches mit hoher Priorität sowie weitere optionale Updates mit niedrigerer Priorität.

Installationsoptionen "Schnell" und "Benutzerdefiniert"

Detaillierte Beschreibung

Bestimmte Benutzer gehen zur Windows Update-Website, um nur nach den wichtigsten Updates zu suchen und die Computer schnellstmöglich zu aktualisieren. Die Installationspfade Schnell und Benutzerdefiniert helfen Benutzern, schnell die für ihre Bedürfnisse am besten geeignete Route durch die Website zu finden  – entweder, um schnell alle Updates mit hoher Priorität zu erhalten oder um mehr Zeit mit dem Durchsuchen und Auswählen optionaler Updates zu verbringen.

Warum ist diese Änderung wichtig?

Das Aktualisieren eines Computers sollte einfach und schnell verlaufen. Diese Änderung entfernt Schritte und Optionen, um den Updateprozess schneller und weniger fehleranfällig zu gestalten. Die Änderung ermöglicht außerdem mehr Flexibilität und Auswahlmöglichkeiten für den Benutzer.

Zur Verbesserung der Installationsoptionen verfügt die Windows Update-Startseite jetzt über zwei Modi:

Die Schnellinstallation bietet bereits ausgewählte wichtige Updates. Die Liste der Updates kann in diesem Modus nicht bearbeitet werden.

Die benutzerdefinierte Installation gibt Ihnen die volle Kontrolle über die bereits ausgewählten wichtigen Elemente, sodass Benutzer für ihre Computer relevante Updates ausblenden, entfernen und auswählen können.

Zur Minderung welcher Probleme trägt dies bei?

Dieser Entwurf trägt zur Minderung Benutzerprobleme bei der Suche nach wichtigen Sicherheitsupdates bei. Dies hilft Benutzern wiederum beim schnellen Installieren von Updates, die sie vor bekannten Sicherheitsrisiken schützen.

Welche Funktionsweisen haben sich geändert?

Die Windows Update-Seite wurde geändert, und die Schritte für die Navigation und die Auswahl von Updates sind andere. Die Basisfunktionalität von Windows Update hat sich nicht geändert.

Windows Update- und Microsoft Update-Startseite

Detaillierte Beschreibung

Die folgenden Erweiterungen wurden zur Windows Update- und Microsoft Update-Startseite und zum Gesamteindruck der Website in Windows XP Service Pack 2 hinzugefügt.

Überarbeitetes grafisches Design

Benutzer werden eine neue Kopf- und Fußzeile bemerken, die überall auf Microsoft.com zum Standard geworden ist. Das Layout und die Links wurden vereinfacht und sind jetzt benutzerfreundlicher.

Einstellungen für automatische Updates

Viele Kunden wissen nicht, dass sie mithilfe der Funktion für automatische Updates geschützt und aktuell bleiben können. Die Windows Update-Website erinnert Benutzer an ihre aktuellen Einstellungen für automatische Updates, schlägt die optimalen Einstellungen vor, die sicherstellen, dass sie die aktuellen Sicherheitsupdates erhalten, und stellt eine Möglichkeit zum Ändern der Einstellungen bereit.

Neuigkeiten zu Updates

Wenn ein wichtiges Problem auftritt, über das Microsoft Benutzer informieren möchte, werden diese Informationen im Abschnitt zu Neuigkeiten von Microsoft auf der Windows Update-Startseite angezeigt. Dazu zählen möglicherweise auch nützliche Tipps, die Benutzern helfen sollen, die Computer aktuell zu halten.

Informationen für Administratoren

Viele Benutzer wissen nicht, dass Windows Update einen durchsuchbaren Katalog der veröffentlichten Updates, den "Windows Update-Katalog", anbietet. Während die Windows Update-Website mithilfe eines Erkennungsprozesses ermittelt, welche Updates Benutzer installieren sollten, ist dies beim Windows Update-Katalog nicht der Fall. Aus diesem Grund wird der Katalog für die meisten Benutzer nicht empfohlen. Fortgeschrittene Benutzer, die Updates für andere Computer verwalten müssen, können diese Funktion jedoch verwenden. Der Abschnitt zu Verwaltungsinformationen auf der Windows Update-Website stellt außerdem, wie weiter oben erörtert, Informationen zu Windows Update Services bereit.

Inhaltsorganisation und Navigation

Detaillierte Beschreibung

Folgende Änderungen wurden an der Inhaltsorganisation und an der Navigation der Windows Update- und Microsoft Update-Website vorgenommen:

Updatekategorisierung

Die Updatekategorien im linken Navigationsbereich wurden geändert und bieten jetzt mehr Platz für im Lauf der Zeit veröffentlichte Updates aus verschiedenen Produktgruppen und von verschiedenen Anbietern. Die Benennung wurde aus Gründen der Einheitlichkeit und der besseren Verwendbarkeit standardisiert.

Updates für die Einzelinstallation

Manche Updates müssen getrennt von anderen installiert werden. Microsoft ist bemüht, den Einsatz dieser Updatetypen künftig so gering wie möglich zu halten. Da diese Updatetypen in einigen Fällen dennoch erforderlich sind, wurde der Auswahl- und Installationsprozess optimiert, um die Verwendbarkeit zu verbessern. Wenn Benutzern ein Update für die Einzelinstallation angeboten wird, können sie es einzeln auswählen oder weitere Updates auswählen, die für den Computer zutreffen. Da diese Auswahl zu Beginn des Auswahl- und Installationsprozesses erfolgt, müssen die Benutzer nicht wie bisher am Ende des Prozesses zurückgehen, um die Auswahl zu ändern. Benachrichtigungen über Updates für die Einzelinstallation, die Benutzer auf Updates aufmerksam machen, die nur separat installiert werden können, werden Benutzern über die neue Windows Update-Website besser übermittelt.

Ablösende Updates

Manche Updates ersetzen vorherige Updateversionen, bzw. lösen sie ab. Beispielsweise löst ein Service Pack, das Sicherheitspatch A enthält, Sicherheitspatch A durch sich selbst ab. Windows Update bietet Benutzern automatisch das aktuelle zutreffende Update an, sodass sie nicht unter den aktuellen und vorherigen Versionen auswählen müssen. In früheren Versionen von Windows Update sahen die Benutzer sowohl die abgelösten als auch die ablösenden Updates zusammen aufgelistet. Dies führte zu Verwirrung.

Updatedetails

Windows Update-Benutzer fordern übereinstimmend detailliertere Informationen zu den Updates, die Windows Update bereitstellt. Dazu zählen z. B. Deinstallationsanweisungen, Supportinformationen und Details zu Inhaltsanbietern. Als Reaktion auf dieses Feedback wurde die Seite mit den Windows Update-Details überarbeitet und stellt jetzt einen festen Satz Informationen bereit, um die Updatedetails einheitlicher und praktischer zu gestalten. Wenn ein Update von einer anderen Quelle als von Microsoft bereitgestellt wird, z. B. von einem OEM oder einem unabhängigen Hardwareanbieter, kann dieser ein firmenspezifisches Symbol auf der Seite mit den Details verwenden, um deutlich zu kennzeichnen, dass ein bestimmtes Update von ihm bereitgestellt wurde.

Alle auswählen

Viele Kunden haben eine Option gefordert, die mit einem Klick alle Updates auswählt. Obwohl Windows Update weiterhin automatisch (mithilfe des Schnellinstallationspfades) die für den Computer benötigten Updates mit hoher Priorität auswählt, können Benutzer, die wirklich alle verfügbaren relevanten Updates wünschen, diese jetzt mit einem Klick auswählen, indem sie die Funktion für die benutzerdefinierte Installation verwenden.

Ausblenden und Wiederherstellen von Updates

Manchmal wird Benutzern möglicherweise ein Update angeboten, das sie nicht installieren möchten. Benutzer können jetzt Updates ausblenden, die nicht angezeigt werden sollen. Dadurch wird die Liste der verfügbaren Updates nicht durch unerwünschte Updates unübersichtlich. Falls sich Benutzer später anders entscheiden, können sie zur Seite zum Wiederherstellen ausgeblendeter Updates gehen und das Update abrufen.

Betasoftware

Windows Update enthält möglicherweise von Zeit zu Zeit Betasoftware (Vorabversionen) und Updates für Betasoftware. Microsoft ist bekannt, dass Betasoftware nicht für alle Kunden geeignet ist und auch nicht von allen gewünscht wird. Wenn Benutzer beim Besuchen von Windows Update Betasoftwareversionen angeboten bekommen möchten, können sie zur Einstellung Erweitert wechseln und Betaprodukte und verwandte Updates anzeigen auswählen.

Intelligente Downloads

Wenn die Internetverbindung von Benutzern beim Downloaden von Updates abbricht, wird der Download beim nächsten Versuch an der Stelle fortgesetzt, an der er zuvor abgebrochen wurde. Wenn ein Benutzer automatische Updates auswählt, downloadet die Windows Update-Website keine Updates, die schon von den automatischen Updates gedownloadet wurden. Früher wurde ein von den automatischen Updates gedownloadetes Update, das der Benutzer nicht installiert hatte, erneut gedownloadet, wenn der Benutzer auf die Windows Update-Website zugriff und die Installation des Updates auswählte.

Treiberdetails

Kunden haben mehr Informationen zu den von Windows Update angebotenen Treibern angefordert. Windows Update stellt jetzt Informationen aus dem Geräte-Manager bereit, sodass Benutzer erfahren, wieso ihnen ein bestimmter Treiber angeboten wird, und eine fundiertere Entscheidung darüber treffen können, ob der Treiber installiert werden soll. Zu den möglichen Optionen zählen:

PNP-Status = Gerät deaktiviert: Windows Update empfiehlt, dieses Update zu installieren, da das Gerät DriverClass auf dem Computer, für das dieser Treiber zutrifft, offenbar deaktiviert ist.

PNP-Status = Geräteproblem: Windows Update empfiehlt, dieses Update zu installieren, da das Gerät DriverClass auf dem Computer, für das dieser Treiber zutrifft, offenbar nicht ordnungsgemäß funktionsfähig ist.

PNP-Status = Gerät ohne Treiber: Windows Update empfiehlt, dieses Update zu installieren, da für das Gerät DriverClass auf dem Computer, für das dieser Treiber zutrifft, offenbar kein Treiber installiert ist.

Supportfähigkeit

Detaillierte Beschreibung

Um eine effektivere Selbstproblembehandlung für Dienste und Inhalte bereitzustellen und Produktsupporttechnikern bessere Informationen für Szenarios mit Unterstützung bereitzustellen, wurde die Windows Update- und Microsoft Update-Website durch folgende Supporterweiterungen ergänzt:

Problembehandlungssuche

Es stehen jetzt relevantere, detailliertere Problembehandlungsverfahren für Probleme zur Verfügung, die bei Benutzern bei der Verwendung von Windows Update aufgetreten sind. Dazu können Probleme mit der Verwendung der Website oder beim Installieren von über Windows Update angebotenen Inhalten zählen. Die Such- und Filterfunktionen der Windows Update-Problembehandlung wurden verbessert, um Benutzern das Suchen und Auffinden der relevanten Hilfeinhalte zu erleichtern.

Verlauf

Die Funktion für den Updateverlauf enthält jetzt mehr Details zu den von Benutzern installierten Updates sowie alle Fehler, die möglicherweise während der Installation aufgetreten sind. Vorher erhielten Benutzer bei fehlgeschlagenen Updates keine Anweisungen hinsichtlich der nächsten Schritte zur potenziellen Behebung eines Problems. Gegebenenfalls wird jetzt durch Klicken auf die Anzeige Fehlgeschlagen in der Spalte Status eine hilfreichere Fehlermeldung für bestimmte Inhaltsbereiche bereitgestellt, deren Installation fehlgeschlagen ist. Außerdem stehen intuitivere Paging-, Navigations- und Druckoptionen für Updateinformationen zur Verfügung.

Verbesserte Meldungen

Falls ein Fehler auftritt, durchsucht Windows Update automatisch die Hilfe- und Supportinhalte nach weiteren Informationen zum Fehler und macht einen Lösungsvorschlag. Vorhande Informationen, die zum Lösen eines bestimmten Problems beitragen, kann der Benutzer sehen, wenn die Fehlermeldung angezeigt wird. Auf diese Weise müssen Windows Update-Benutzer nicht selbst den Abschnitt Windows Update-Problembehandlung nach Informationen durchsuchen.

Warum ist diese Änderung wichtig?

Diese neu hinzugefügten Funktionen und Änderungen helfen Benutzern beim Auffinden und Installieren verschiedener, über die Windows Update-Website angebotenen Updatetypen. Dies hilft wiederum Benutzern, sich vor bekannten Sicherheitsrisiken zu schützen.


**
**