Supportanfrage

HFNetChkPro & Windows XP SP2

von | 13.August 2004

Archiv

Darstellung des archivierten Beitrags

Dieser Beitrag wurde aus der Vorgängerversion der ProSoft Knowledge Base übernommen. Er wird im Archiv zur Verfügung gestellt und dient zur Recherche älterer Programmversionen bzw. früherer Fragestellungen.

Shavlik HFNetChkPro ist ein Security Patch Management Produkt zur Überprüfung und Verteilung von Microsoft Security Patches und Hotfixes.

Hierbei führt HFNetChkPro diese Funktionen im sog. agentless mode aus. Dies bedeutet, das HFNetChkPro Rechner im Netzwerk scannen und Patches auf diese Rechner verteilen kann, ohne das hierzu ein spezieller Agent ( Client ) auf dem jeweiligen Rechner installiert sein muss.

Um diese Aufgaben durchführen zu können ist HFNetChkPro auf dieselben Netzwerk Protokolle und Authentifikationsverfahren angewiesen, wie diverse Microsoft Tools. z.B:

  • Netzwerkanmeldung ( network logon )
  • Datei- und Druckerfreigabe für Microsoft Netzwerke ( file and printer sharing )
  • Auswertung von Ereignisanzeigen und Leistungsüberwachung ( remote viewing of event logs and performance monitoring )
  • und diverse andere …

Diese Methoden der Kommunikation fasst man allgemein zusammen unter dem Begriff NetBIOS oder DirectHost services.

NetBIOS und DirectHost services sind hierbei auf diverse TCP und UDP Ports im Netzwerk angewiesen:

  • TCP 139 ( NETBIOS Session Service => u.a. für Zugriff auf die Drucker- und Dateifreigaben zuständig )
  • TCP 445 ( SMB Direct Host => SMB ( Server Message Block ) liefert u.a Informationen über einen Computer zurück )
  • UDP 137 ( NETBIOS Name Service => für NetBIOS Namensauflösung ( WINS Name zu IP zuordnen ) zuständig )
  • UDP 138 ( NETBIOS Datagram Service => u.a. für Login und Browsing über das NetBIOS zuständig )

Diese Dienste und Ports sind per Default auf Windows NT, Windows 2000 und Windows XP ( als Mitglied einer Domäne ) installiert und konfiguriert.

Mit Einführung des ServicePack 2 für Windows XP sind diese Dienste und Ports per Default n i c h t mehr für Remote Systeme verfügbar.
Die neue Windows Firewall des ServicePack 2 überwacht den Zugriff auf diese Dienste und unterbindet den Netzwerkzugriff auf alle Ports.

Einerseits wird hierdurch das Sicherheitslevel jedes Rechners erhöht, andererseits jedoch durch die Default Einstellungen der neuen Firewall das Verhalten von Anwendungen wie z.B.

  • Datei- und Druckerfreigabe
  • Webserver
  • scannen und verteilen von Patches mit Shavlik HFNetChkPro

beinflusst, so dass diese nicht mehr funktionieren wie erwartet.

Um HFNetChkPro auch weiterhin zum scannen und patchen von Windows XP SP2 Maschinen verwenden zu können, müssen Sie die nun installierte Firewall und die daraus resultierenden verschärften Sicherheitsrichtlinien an die Nutzung mit HFNetChkPro anpassen.

Bitte beachten Sie:

Führen Sie alle Konfigurationen und Einstellungen im Zusammenhang mit dem ServicePack 2 für Windows XP immer zuerst in einer Testumgebung aus, da die Installation des ServicePack 2 grundlegende Änderungen der Sicherheitseinstellungen Ihres Windows XP Systems vornimmt und Sie zuerst sicherstellen müssen, dass Ihre Anwendungen in Verbindung mit diesen neuen Sicherheitsrichtlinien nachwievor funktionieren und die erwarteten Ergebnisse liefern.

Installieren Sie das Servicepack 2 für Windows XP nicht ungetestet auf Rechnern in Ihrem Produktivsystem

Ursache:

Die neue Windows XP Firewall des ServicePack 2 überwacht den Zugriff auf den Rechner und unterbindet den Netzwerkzugriff auf alle Ports.

Wenn Sie mit HFNetChkPro Windows XP System scannen und patchen wollen und dieses bereits mit dem Windows XP ServicePack 2 aktualisiert worden sind, so müssen Sie die SP2 Firewall auf diesen Zielrechnern konfigurieren, damit die HFNetChkPro Console weiterhin diese Zielrechner erreichen kann.


Lösung:

Zur Lösung dieses Problems gehen Sie bitte wie folgt vor:

  • Installieren Sie den Gruppenrichtlinien-Manager ( v1.0.2 SP1 / Stand 08/04 ) von Microsoft.
  • Starten Sie das Programm Gruppenrichtlinienverwaltung im Verwaltungsordner
  • Wählen Sie nun in der Gesamtstruktur die betroffene Domäne aus, für welche Sie die Windows XP Firewall Regel erstellen bzw. anpassen wollen.
  • Markieren Sie den Eintrag Default Domain Policy
    Haben Sie die betroffenen Rechner bereits in einer OU zusammengefasst, so können Sie auch diese OU wählen
  • Wählen Sie im Kontextmenü der rechte Maustaste die Option Bearbeiten… aus.
    Es öffnet sich der Gruppenrichtlinien Editor
  • Erweitern Sie die Computerkonfiguration und öffnen Sie das Domänenprofil unter Administrative Vorlagen / Netzwerk / Netzwerkverbindungen / Windows-FirewallUm HFNetChkPro das Scannen und Verteilen fehlender Patches auf Windows XP ( SP2 ) Rechnern in Ihrer Domäne zu ermöglichen, müssen Sie die hierzu benötigten Zugriffsrechte im Netzwerk ( Remote Access ) freischalten.
  • Wählen Sie die Regel: Windows Firewall: Ausnahme für Datei- und Druckerfreigabe zulassen
  • Wählen Sie im Kontextmenü die Option Eigenschaften aus
    Es öffnet sich der Dialog zu den Eigenschaften der gewählten Regel
  • Markieren Sie die Option Aktiviert
  • Tragen Sie unter Unerbetene eingehende Nachrichten zulassen von: den Wert localsubnet ein.Hiermit geben Sie
    • im lokalen Subnetz ( localsubnet )
    • für das TCP Protokoll die Ports 139 und 445
    • für das UDP Protokoll die Ports 137 und 138
    • frei
    • Diese Regel erscheint in der Windows XP SP2 Firewall als Datei- und Druckerfreigabe

    Bitte beachten Sie

    Sollten Sie sich hier vertippt haben, so müssen Sie diesen Eintrag zuerst entfernen und dann wieder neu hinzufügen.
    Es besteht keine Möglichkeit, einen bestehenden Eintrag nachzubearbeiten bzw. zu korrigieren.

  • Schließen Sie die Konfiguration mit [Übernehmen] und [OK] ab.
  • Nach einem Neustart des Windows XP ( SP2 ) Rechner werden die soeben getroffenen Konfigurationseinstellungen übernommen.

Eine erweiterte Sicherheit erreichen Sie, indem Sie anstelle des lokale Subnetz ( localsubnet ) die IP-Adresse(n) ( durch Komma getrennt ) Ihrer installierten HFNetChkPro Consolen eintragen.
In diesem Fall ist ein Netzwerk Zugriff nur von diesen IP-Adressen aus möglich.
Alle anderen PC’s im Netzwerk haben keinen Zugriff auf die Datei- und Druckerfreigabe.


Eine nochmalige Verschärfung der Sicherheitseinstellungen in der Firewall erreichen Sie, indem Sie nur den TCP-Port 139 freigeben.
Wenn Sie diese Einstellung vornehmen, ist es nicht mehr möglich, einen Ping an die betroffenen PC’s zu senden – HFNetChkPro jedoch kann die betroffenen PC’s trotzdem nach Patchen durchsuchen und verteilen.

Um diese erweiterten Sicherheitseinstellungen vorzunehmen, gehen Sie bitte wie folgt vor:

  • Setzen Sie die zuvor konfigurierte Datei- und Druckerfreigabe wieder auf nicht konfiguriert zurück.
  • Wählen Sie die Regel: Windows Firewall: Portausnahmen festlegen
  • Wählen Sie im Kontextmenü die Option Eigenschaften aus.
    Es öffnet sich der Dialog zu den Eigenschaften der gewählten Regel.Bitte beachten Sie
    Diese Regel ist nur verfügbar, wenn Sie diese von einem Windows XP ( SP2 ) Rechner aus bearbeiten.
  • Markieren Sie die Option Aktiviert
  • Drücken Sie nun auf die freigegebene Schaltfläche [Anzeigen…]
  • Fügen Sie bitte folgende Werte hinzu: 139:TCP:localsubnet:enabled:NetBIOSHiermit geben Sie
    • im lokalen Subnetz ( localsubnet )
    • für das TCP Protokoll
    • den Port 139
    • frei ( enable )
    • Diese Regel erscheint in der Windows XP SP2 Firewall als NetBIOS

    Bitte beachten Sie

    Sollten Sie sich hier vertippt haben, so müssen Sie diesen Eintrag zuerst entfernen und dann wieder neu hinzufügen.
    Es besteht keine Möglichkeit, einen bestehenden Eintrag nachzubearbeiten bzw. zu korrigieren.

  • Schließen Sie die Konfiguration mit [Übernehmen] und [OK] ab.
  • Nach einem Neustart des Windows XP ( SP2 ) Rechner werden die soeben getroffenen Konfigurationseinstellungen übernommen.

Sie sollten nun wieder in der Lage sein, mit HFNetChkPro Ihre Windows XP ( SP2 ) Rechner erreichen zu können und wie gewohnt Ihre Scan- und Verteilaufträge durchführen zu können.

Beachten Sie bitte auch folgende weiterführende Informationen:

Seitenaufrufe

Bitte bewerten Sie diesen Beitrag!
[Gesamt: 0 | Durchschnitt: 0]