荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: presses (云仔), 信区: WinNT
标 题: 白皮书(6)计算机维护
发信站: 荔园晨风BBS站 (Mon Aug 16 11:37:29 2004), 站内信件
? 6 部分:计算机维护
发布日期: 2004年08月02日
发布者 Starr Andersen,技术撰稿人, 和 Vincent Abella,技术编辑
本文档为 “ Windows XP Service Pack 2 功能变更 “白皮书的第二部分,详细
介
绍了 Windows XP SP2 包括的安全性技术,旨在帮助理解这些安全性技术,并且确
保计算机拥有最新的安全更新。这些技术有助于提高系统的安全性,或者经过改进
,能够提供比先前更为强大的安全性。您可以通过以下地址获得本白皮书的其它部
分: http://go.microsoft.com/fwlink/?LinkId=28022 [英文].
本文档为预备性文档,适用于针对 32 位版本的 Windows XP Professional 和
Wi
ndows XP Home Edition 的 Microsoft Windows XP Service Pack 2 (SP2) 的
Be
ta 版本。文档没有介绍本服务包的最终版本将要包括的所有功能。
本页内容
针对”添加或删除程序“的过滤器
Microsoft Windows Update Services 和 Automatic Updates
策略结果集
安全中心
Setup
Windows Installer 3.0
Windows Update
针对”添加或删除程序“的过滤器
这些过滤器有何功能?
针对 添加或删除程序 的过滤器为用户选择是否将更新,例如从 Microsoft Web
站
点下载的安全更新,显示在 当前已安装程序 列表。
本特性适用于哪些用户?
在本地计算机上拥有管理员凭证的所有用户都可以使用“添加或删除程序”。虽然
某些应用程序可以由非管理员安装或删除,但是大多数程序需要用户拥有管理员凭
证。
Windows XP Service Pack 2 的哪些现有功能发生了变化?
从 “更改或删除程序列表” 中过滤更新
详细描述
添加或删除程序中的修改或删除程序 列表显示了用户可以修改或删除的已安装程
序
。本列表还显示了针对 Windows 或其它程序的已安装。
在 Windows XP Service Pack 2(SP2),用户能够选择在视图中显示或隐藏针对
Windows 或其它程序的更新。列表上会显示一个新的 显示更新 复选框,可以通过
它显示或隐藏已安装的更新。
为什么本更新是重要的?
软件厂商们正在开发更多的安全更新,发布频率也比以前更加频繁。这些频繁发布
的更新提高了用户系统的可靠性和安全性。但是,通过在添加或删除程序中的 更
改
或删除程序 列表中显示所有更新,已安装程序的列表将由于已安装更新列表而变
得
拥挤不堪。一个新的选项可以从列表中过滤更新,仅显示已安装程序,让列表变得
更易于查看。
使用起来有何不同?存在依赖性吗?
默认情况下,“更改和删除 程序”不会显示针对 Windows 的已安装更新。为了查
看已经安装的更新,可以选择列表顶部的 “显示更新” 复选框。
通过对它们自己的更新进行标记以便能够根据需要加以隐藏,所有程序都可以利用
本特性。在 Windows XP SP2 发布以前编写的 Windows 程序将忽略此过滤器选项
,
总是显示在列表中。
我应该如何解决这些问题?
为了在单台计算机上关闭此过滤器特性,请按照如下步骤操作:
1.
打开注册表编辑器。
为了打开编辑器,请点击 开始,点击 运行, 输入 regedit,然后按 ENTER 。
2.
导航到以下注册表键:
\\HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows \CurrentVersion\Policies\Uninstall
3.
选择 DontGroupPatches 键。
4.
默认情况下,DWORD 值为 0。
5.
将此 DWORD 值修改为 1,禁用此过滤器特性。
注意: “如果错误地编辑了注册表,可能会对系统造成严重的损害。在修改注册
表
之前,应该对计算机上的所有有价值数据进行备份。
在企业环境下,可以创建一个组策略对象,修改控制此过滤器特性的注册表设置,
让”添加或删除程序“控制面板与 Windows XP Service Pack 1 中的使用方式保
持
一致。
Windows XP Service Pack 2 对本特性增加或修改了哪些设置?
设置的名称 位置 先前默认值(如果有) 默认值 可以使用的值
DontGroup
Patches
HKEY_LOCAL_MACHINE
\Software\Microsoft
\Windows\CurrentVersion\
Policies\Uninstall
?
DontGroupPatches = REG_DWORD:0
DontGroupPatches = REG_DWORD:1
为了能够在 Windows XP SP2 中工作,我需要对代码进行修改吗?
无需对程序进行任何修改,即可继续在Windows XP Service Pack 2 的 添加或删
除
程序 中使用。如果程序没有针对新特性进行修改,那么工作方式与 Service
Pack
1 中完全一样。
程序可以对属于自己的更新加以标记,默认情况下不在列表中显示,从而利用本更
新。请在稍后的时间访问 MSDN 站点,查找有关如何标记更新的更多详细信息。
返回页首
Microsoft Windows Update Services 和 Automatic Updates
Windows Update Services 和 Automatic Updates 有何功能?
Windows Update Services(Windows 升级服务,先前称作 Software Update
Serv
ices [软件升级服务])让管理员能够简化和自动化在运行 Microsoft Windows
XP
Professional 或 Windows 2000 Professional 客户机, 以及 Windows 2000
Se
rver 和 Windows Server 2003 的部署重要更新和安全更新的过程。
Windows Update Services 包括以下组件:
? Windows Update。Microsoft Web 站点提供了所有可用的 Microsoft 更新,并
且
按照产品和更新类型进行了分类。后文将介绍对 Windows Update 所做的修改。
? Microsoft Software Update Services。用于管理和分发更新的 Windows
Updat
e Services 服务器组件。
? Automatic Updates。客户机组件,允许计算机自动连接到 Windows Update,或
者连接到运行 Windows Update Services 的服务器,以获得更新。Windows
2000
Service Pack 3 及其后版本、Windows XP及其后版本以及 Windows Server
2003
均提供了 Automatic Updates (自动更新)组件。
说明:本节其余部分介绍了 Windows XP SP2 中的 Automatic Updates 特性。
Automatic Updates 定期通过 Interent 连接到 Windows Update,或者通过企业
网
络连接到 Windows Update Services 服务器。在发现了适用于计算机的新更新后
,
可以配置 Automatic Updates 自动安装所有更新(建议采用此配置),或者通知
计
算机的管理员或负责接收通知的用户。在管理员选择了应该下载的更新之后,
Auto
matic Updates 将下载和安装这些更新。
本特性适用于哪些用户?
运行 Windows XP 和 Windows 2000 Server 以及更高版本操作系统的计算机上的
所
有用户或管理员。
Windows XP Service Pack 2 中的本特性添加了哪些新的功能?
对应用程序和硬件驱动程序的支持
详细描述
最新版本的 Automatic Updates 为 Microsoft (包括 Microsoft Office、
Micro
soft SQL Server 以及 Microsoft Exchange)提供了更多支持。此外,用户还可
以
通过它获得硬件驱动程序的升级。
本特性有助于缓解哪些威胁?
过去,Automatic Updates 只能够分发针对 Windows 操作系统的重要更新。而在
本
版本中,除操作系统之外,用户还可以更新应用程序和驱动程序。通过安装最新的
安全修补程序,可以保持应用程序和驱动程序保持最新状态,减少安全漏洞的数量
和缩小攻击表面。
它的工作方式有何不同?
在审查 Automatic Updates 通知时,管理员将拥有更多类型的更新可供选择。
对 Additional Update 类别的支持
详细描述
先前版本的 Automatic Updates 只允许分发和安装重要更新。本版本则提供了对
以
下类别的支持:
? 安全更新
? 重要更新
? 累积更新
? 服务包
用户还可以通过基于 Intranet 的 Windows Update Services 获得其它类型的更
新
。有关更新类别的更多信息(包括重要更新),请访问 Windows Update Web 站点
上的 ” 关于 Windows Update“:http://go.microsoft.
com/fwlink/?linkid=17
289 [英文].
为什么本修改是重要的?
通过添加对更广泛更新类型的支持,尤其是安全更新,Automatic Updates 让计算
机更易于保持最新状态,更加可靠和更易于管理。
它有助于缓解哪些威胁?
过去,Microsoft 发布了大量的建议更新,这些更新不属于重要更新,因此不会自
动安装。用户必须连接到 Windows Update 站点并且手动安装它们。因为这个过程
是手动的,用户可能无法及时安装更新,使得计算机遭受攻击。此项修改让一些新
的更新类别与重要更新一样,能够自动安装。
它的工作方式有何不同?
在审查 Automatic Updates 通知时,管理员拥有更多类型的更新可供选择。
重要更新的 Automatic Prioritization(自动划分优先级)和下载
详细描述
现在,Automatic Updates 能够根据更新的优先级进行下载。例如,如果在下载某
个大型服务包的时候,又发布了一个用于解决代码利用问题的、较小的安全更新,
那么将首先下载该安全更新,然后继续下载服务包。
为什么此项修改是重要的?
此修改允许重要更新限于其它更新被安装。
它有助于缓解哪些威胁?
因为增加了通过 Automatic Updates 交付的更新的种类,此项修改使得具有高优
先
级的更新先于其它更新安装。
它的工作方式有何不同?
如果认为某些更新具有较高的优先级,会先于其它更新下载这些更新。
客户端定位(Client Side Targeting)
详细描述
如何将 Automatic Updates 与某台 Windows Update Services 服务器结合使用,
管理员可以自动将某台客户机指派给某台 Windows Update Services 服务器。
为什么说此项修改是重要的?
将客户机分派给目标组过去是一个手动过程。管理员现在可以使用目标组自动控制
在指定的客户机组上安装哪些更新?在部署某个更新之前,必须针对某个特定的目
标组对其进行授权。
它的工作方式有何不同?
现在,Windows Update Services 管理员可以使用组策略将客户机指派给特定的目
标组。然后,运行 Windows Update Services 的服务器使用这些目标组批准和安
装
针对特定客户机组的升级。例如,在 Active Directory 环境下,客户机和服务器
的身份可以通过安全组得到确认。然后,可以在客户机上部署某个升级,而不影响
服务器。
可以编写脚本的 API
详细描述
现在,可以使用一组应用程序编程接口(API),通过程序或者脚本管理
Automati
c Updates。
为什么说此项修改是重要的?
管理员首次能够使用脚本自动管理 Automatic Updates,软件开发人员可以开发程
序,干预或者管理 Automatic Updates。
它的工作方式有何不同?
没有修改任何现有行为或功能。添加了新的功能。
自动化的检测、下载和安装
详细描述
Automatic Updates 确定计算机是否安装了必需或关键的更新,然后自动下载这些
更新。
在一个受控环境中,客户机可以直接从 Windows Update 或者某台 Windows
Updat
e Services 服务器那里获得更新。管理员现在可以配置客户机检查 Windows
Upda
te Services 服务器获取更新的频率。
为什么说此项修改是重要的?
现在,管理和分发更新的整个过程都实现了自动化,从而使客户机能够及时安装重
要更新。
更新的安装过程不会被打?
详细描述
可以配置 Automatic Updates,使得无需重启计算机或者中断任何服务的更新能够
及时安装,而不是通过计划任务自动安装。此外,Automatic Updates 可以合并安
装需要重启计算机的更新,用户只需重启一次计算机即可。
在 Windows Update Services 环境下,Automatic Updates 还消除了用户与最终
用
户许可协议(EULA)进行交互的需要。在该环境下,由管理员代表用户在
Windows
Update Services 服务器上接受 EULA。
为什么说此项修改是重要的?
本特性将与安装更新有关的计算机停机时间降到了最少。
在关机时安装更新
详细描述
“关闭 Windows ” 和 “ 关机 ” 对话框增加了一个新的 “安装更新并关机“
选
项。在更新下载完毕可以安装之时,Windows 将默认显示这个新的选项,并且使用
Windows 安全盾的标记对其进行标记,指出这是一个建议安装的安全更新。可以
控
制该安装选项为默认选项,还是通过配置相应的注册表设置来加以显示。
为什么说此项修改是重要的?
本特性简化了许多 Automatic Updates 客户机的管理工作。为用户在得到通知之
后
安装更新提供了一种新的选择。在计算机上没有其它操作时,它也提供了一种安装
更新的方法。
可扩展的管理功能
详细描述
详细描述
在 Active Directory 环境中,管理员可以使用组策略配置 Automatic Updates
的
行为。在其它情况下,管理员可以使用登录脚本或类似技术,通过注册表键值远程
配置 Automatic Updates。
此外,管理员可以使用脚本,通过基于组件对象模型(COM)的 API 管理客户机。
为什么说此项修改是重要的?
本特性简化了运行 Automatic Updates 的客户机的管理工作。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
后台智能传输服务(Background Intelligent Transfer Service,BITS)
详细描述
最新版本的后台智能传输服务(BITS)为 BITS 2.0,它极大改进了带宽的效率。
这
意味着,当 Automatic Updates 连接到 Windows Update 站点或者 Windows
Upda
te Services 服务器时,所需传输的数据更少,而且传输速度更快。从而最大限度
地降低了 Automatic Updates 可能对 Internet 连接或企业网络造成的影响。对
BITS 所做的改进还包括:
? BITS 2.0 可以经过配置,在指定的时间下载更新,例如网络使用率较低的时段
。
? BITS 2.0 可以经过配置,只使用部分可用网络带宽。
? BITS 2.0 经过优化,只下载发生了变化的文件。例如,如果某个大小为 1MB 文
件中只有 1 个字节发生了变化,BITS 将只传输很少的字节,而不是传输整个
1MB
文件。
? BITS 2.0 可以从网络故障中恢复。如果在下载过程中发生网络故障或连接中断
,
BITS 可以恢复文件传输。它不会重新开始下载过程,而是从上次下载过程停止的
地
方开始下载。
为什么说此项修改是重要的?
此项修改对于仍然使用低速 Internet 拨号连接或者昂贵的广域网(WAN)连接的
用
户尤为有用。
它有助于缓解哪些威胁?
它不能缓解任何威胁。
它的工作方式有何不同?
管理员可以使用组策略或者注册表键配置 BITS 使用网络连接的方法。这允许管理
员简化 Windows Update Services 和 Automatic Update 的网络使用率,确保更
新
过程不会影响其它业务活动。
计划日程和通知选项
详细描述
可以使用组策略为用户配置计划日程和通知选项。
具有管理权限的用户可以决定在自动开始下载或安装更新之前是否获得通知,以及
设定安装的日程。此外,用户可以检索先前拒绝或隐藏起来的更新。
如果将计算机配置为在预定的时间自动进行安装,将不会出现通知。以避免用户就
通知的目的发生混淆。如果更新需要重启计算机,那么用户将会看到通知。
为什么说此项修改是重要的?
这些选项让管理员能够完全控制更新在何时和以何种方式下载并安装到计算机。
客户机的自我更新
详细描述
在一个受控环境中,客户机可以自动将它们的 Automatic Updates 组件更新到更
新
的版本,而无需管理员重新配置计算机。
为什么说此项修改是重要的?
它最大限度降低了人工干预工作的数量,允许对 Windows Update Services 和
Au
tomatic Updates 基础结构进行任何修改,以实现快速、可靠的部署。
它有助于缓解哪些威胁?
本特性可以帮助用户将计算机始终保持在最新状态和安全状态。
经过改进的更新适用规则
详细描述
Automatic Updates 可以下载并安装真正适合计算机使用的特定更新。
Automatic
Updates 可以连接到 Windows Update 站点或者 Windows Update Services 服务
器
,对应该在特定系统上应用哪些更新做出评估。例如,在一台 Windows XP 计算机
上,便不会安装针对 Windows 2000 的更新。
为什么说此项修改是重要的?
由于仅下载适用于特定平台和应用程序的更新,本特性最大限度减少了需要下载到
计算机上的更新的数量。此外,它可以避免在计算机上安装针对其它操作系统的更
新。如果这样,计算机可能无法得到必需的保护。
Windows XP Service Pack 2 增加或修改了哪些设置?
设置名称 位置 先前默认值(如果有) 默认值 可能的值
WUServer
HKEY_LOCAL_MACHINE \Software\Policies\ Microsoft\Windows\
WindowsUpdate
n/a
(无)
Automatic Updates 和 API 调用者(默认情况下)将使用 Windows Update
Serv
ices 服务器的 URL。
说明:本策略与 WUStatusServer成对使用;二者都必须进行设置才能生效。
AU\ UseWUServer
HKEY_LOCAL_MACHINE \Software\Policies
\Microsoft\Windows
\WindowsUpdate\AU
?
(无)
使用以上键替代
WUStatusServer
HKEY_LOCAL_MACHINE \Software\Policies \Microsoft\Windows
\WindowsUpdate
n/a
(无)
负责报告信息的服务器的 URL 将被发送到调用者,调用者使用在 WUServer 键指
定的 Windows Update Services 服务器。
定的 Windows Update Services 服务器。
说明:本策略与 WUServer成对使用;二者都必须进行设置才能生效发挥作用。
ElevateNonAdmins
HKEY_LOCAL_MACHINE \Software\Policies \Microsoft\Windows
\WindowsUpdate
n/a
0(不提升)
这个布尔值指出是否允许 ”Users“ 安全组中的用户批准或拒绝更新,以及他们
是否可以通过客户端 API 安装或卸载更新。
0 = false (不提升普通用户)
1 = true (提升普通用户)
TargetGroup
HKEY_LOCAL_MACHINE \Software\Policies \Microsoft\Windows
\WindowsUpdate
?
(无)
计算机所属的目标组的名称,用来实现有针对性的客户机安装。例如,
TestServe
rs。
AUOptions
HKEY_LOCAL_MACHINE \Software\Policies
\Microsoft\Windows
\WindowsUpdate\AU
?
(无)
Automatic Updates 配置的策略设置。如果将值设置为 5 以上的值,将不允许用
户在控制面板中配置任何设置(除了次要的更新和设置)
在通过组策略进行设置时,只能使用 2-5 的选项。
(无或无效)- 策略不存在
0 - 没有配置(策略无效)
1 - AU 被禁用(策略无效)
2 - 在下载前进行通知
3 - 在安装前进行通知
4 - 计划安装(只有在 ScheduledInstallDay 和 ScheduledInstallTime 设定了
有效值之后才有效。)
5 - Automatic Updates 是必需的,但是最终用户可以选择它的配置方式。该选
项
是 Windows Update Services 的新增选项。
如果通过策略指定了一个无效选项或者选项组合,那么其结果将等价于没有设定本
策略:本地管理员可以使用控制面板修改设置。
NoAutoUpdate
HKEY_LOCAL_MACHINE
\Software\Policies \Microsoft\Windows \WindowsUpdate\AU
?
0 (不禁用)
这个布尔值指出是否禁用 Automatic Updates。对于最终用户,除了不能修改设
置
之外(因为它来自于组策略),结果与 AUOptions=1 的设置的结果基本相同。
0 - False(不禁用 AutoUpdate)
1 - True(禁用 AutoUpdate)
ScheduledInstallDay
HKEY_LOCAL_MACHINE \Software\Policies \Microsoft\Windows
\WindowsUpdate
\AU
?
(无)
如果 AUOptions 通过组策略被设置为 4(计划安装),Automatic Updates 应该
在哪天自动安装更新。如果 AUOptions 没有设置为 4,则忽略。
(无) - 没有设置策略
0 - 每天
1 -每个星期天
2 - 每个星期一
3 - 每个星期二
4 - 每个星期三
5 - 每个星期四
6 - 每个星期五
7 - 每个星期六
ScheduledInstallTime
HKEY_LOCAL_MACHINE
\Software\Policies
\Microsoft\Windows
\WindowsUpdate\AU
?
(无)
如果 AUOptions 通过策略被设置为 4 (计划安装),本策略将决定
Automatic
Updates 将在一天中的哪个时间安装更新。如果 AUOptions 没有被设为 4,则忽
略
。
(无) - 没有设置策略
0 - 午夜
1 - 当地时间的 1:00 a.m.
其它...
DetectionFrequency
HKEY_LOCAL_MACHINE \Software\Policies \Microsoft\Windows
\WindowsUpdate
\AU
?
(无)
时间,单位以小时计,指出了 Automatic Updates 的检测周期。
Min = 1 (1 小时)
Max = 22 (22 小时)
RescheduleWaitTime
HKEY_LOCAL_MACHINE \Software\Policies \Microsoft\Windows
\WindowsUpdate
\AU
?
(无)
时间,单位以分钟计,指出了 Automatic Updates 在计划安装时间过后和在系统
启动时应用更新之前应该等待的时间。如果没有设置此策略,Automatic
Updates
将一直等到下一个计划的安装时间。
请注意:本策略仅仅适用于计划安装,而不是期限安装。使用期限进行安装的更新
在超过期限后,总是会立即执行安装。
禁用本策略会将该注册表键设为 0(零),0 值表明不在系统启动时安装更新。否
则,更新将在下一个计划时间执行安装。
RebootWarning
Timeout(超时)
HKEY_LOCAL_MACHINE \Software\Policies \Microsoft\Windows
\WindowsUpdate
\AU
\AU
?
5(5 分钟)
在以计划安装或期限安装方式安装了更新之后,出现的重启警告倒计时的时间长
度
(单位以分钟计)。
Min = 1 (1 分钟)
Max = 30 (30 分钟)
NoAutoReboot
WithLoggedOnUsers
HKEY_LOCAL_MACHINE \Software\Policies \Microsoft\Windows
\WindowsUpdate
\AU
?
0 (根据需要,会自动重启计算机)
布尔值,指出了在以计划安装或期限安装方式安装了更新之后,是否重新启动计
算
机。
0 = False (允许自动重启)
1 = True (不允许自动重启)
AutoInstall
MinorUpdates
HKEY_LOCAL_MACHINE \Software\Policies \Microsoft\Windows
\WindowsUpdate
\AU
?
0
本布尔值指出是否在不进行提示的情况下自动安装次要更新(不会中断服务)。
0 = False (将次要更新与其它更新同等对待)
1 = True (悄悄安装次要更新)
Explorer\?
NoWindowsUpdate
HKEY_CURRENT_ USER \Software\Microsoft \Windows \CurrentVersion
\Policies
?
(无)
阻止用户访问 Windows Update Web 站点。如果被设置为 1,将按照如下方式加
以
阻止用户访问 Windows Update Web 站点。如果被设置为 1,将按照如下方式加
以
阻止:
? ”开始“菜单中的 Windows Update 链接将被删除。(为了让此操作生效,必须
重新启动 Explorer.exe)。
? Internet Explorer 的 ”工具“ 菜单下的 Windows Update 链接将被删除。(
在生效前,必须重新启动 Internet Explorer)。
如果手动启动 Wupdmgr.exe,会显示一条错误信息,说明 Windows Update 已经被
禁用。
如果用户手动进入 Windows Update 站点,WU 站点会显示一条”拒绝访问“错误
信
息。
WindowsUpdate\?
禁用
WindowsUpdate?
访问
HKEY_CURRENT_USER
\Software\Microsoft
\Windows
\CurrentVersion
\Policies
?
(无)
阻止用户与 Windows Update 服务进行交互的所有渠道,包括 Automatic
Update
s 和 API 调用。在 Software Update Services(SUS)1.0 中,会按照如下方式
进
行阻止(如果设为1):
WU 站点显示一个”拒绝访问“错误。(用户仍然可以通过任何常见机制访问站点
)
。
如果处于当前用户上下文中,设备管理器不会检查 Windows Update 是否存在驱动
程序更新。
Automatic Updates 不会提示用户,即使用户是一位管理员。(Automatic
Update
s 仍然可以继续工作,例如:使用计划模式。)
Windows Update Services 进行了以下修改:
只有与 Windows Update 站点相关时,Automatic Updates UI 才被阻止,与
Wind
ows Update Services 服务器相关则不会被阻止。
如果试图使用 Windows Update 服务,该用户的所有 API 调用都会失败,而
Wind
ows Update Services 服务器则不会。
如果手动启动 Wupdmgr.exe,会显示一条错误信息,指出 Windows Update 已经被
禁用。
在内部,如果用户设置了此值,那么在用户发起的任何调用的过程中,代理将永远
不会与 Windows Update 进行对话。
DisablePatch
HKEY_LOCAL_MACHINE
\Software\Policies
\Microsoft\Windows
\Installer
?
(无)
禁用 Windows Installer 的补丁安装功能。如果设置了此策略,Windows
Update
Services 客户端将不会尝试安装任何 MSP 包,但是仍然会检测它们,以便能够
向
Windows Update Services 服务器或 API 调用者(例如,MBSA)提供相关报告。
DisableMSI
HKEY_LOCAL_MACHINE
\Software\Policies
\Microsoft\Windows
\Installer
?
(无)
禁用 Windows Installer 功能。如果设置了此策略,Windows Update
Services
客户端将不会试图安装任何 MSP 或 MSI 包,但是仍然会检测它们,以便向
Windo
ws Update Services 服务器和 API 调用者(例如,MBSA)提供相关报告。
我需要修改代码,以便能够在 Windows XP Service Pack 2 下工作吗?
Software Update Services(SUS)1.0 以及 Automatic Updates 的先前版本都没
有提供任何的 API,所以不需要修改代码即可使用 Automatic Updates。
返回页首
策略结果集
策略结果集有何作用?
组策略策略结果集(Group Policy Resultant Set of Policy,RSoP)报告在用户
或计算机上应用的组策略设置。组策略结果(Group Policy Results),一个组策
略管理控制台(GPMC),从目标计算机请求 RSoP 数据,并且使用 HTML 格式将数
据显示在一个报告中。组策略建模(Group Policy Modeling)请求同样类型的信
息
,但是报告的数据来自于一个服务。该服务模拟针对用户或计算机组合的 RSoP。
这
种模拟在运行 Windows Server 2003 的域控制器上进行,然后返回到运行 GPMC
的
计算机上显示。最后,RSoP Microsoft 管理控制台(MMC)为这些信息的显示提供
了一条备用手段,而组策略结果一般则是首选方法。
本特性适用于哪些用户?
Active Directory 域环境下的组策略管理员。此外,需要规划或验证组策略应用
的
有效性的 IT 专业人员可能也会对 RSoP 感兴趣。
Windows XP Service Pack 2 修改了哪些现有功能?
在启用了 Windows 防火墙的情况下使用 RSoP
详细描述
在 Windows XP Service Pack 2 中,Windows 防火墙(Windows Firewall)默认
为
启用状态。如果收到的请求不是对计算机所发出请求的回应,而且使用未开放的端
口,那么请求将被 Windows 防火墙所阻止。这会影响 RSoP 的跨网络使用。
有关 Windows 防火墙的更多信息,请参阅本文档的 ” Windows 防火墙“一节。
为什么说此项修改是重要的?它有助于缓解哪些威胁?
在 Windows XP Service Pack 2 之前,Windows XP 默认情况下禁用了 Windows
防
火墙。用户需要运行向导或者切换到”网络连接“文件夹,手动启动 Windows 防
火
墙。这种操作已经被证明对于许多用户来说不易掌握,而且会导致许多计算机缺少
防火墙的保护。
通过默认启用 Windows 防火墙,计算机提高了防御外来网络攻击的能力。例如,
如
果默认启用了 Windows 防火墙,将会极大降低最近的 MSBlaster(冲击波)病毒
所
造成的影响,而无论用户是否安装了最新的补丁程序。
它的工作方式有何不同? 存在依赖性吗?
Windows XP Service Pack 2 对 RSoP 进行了两项重要的修改。
? 在运行 Windows XP SP2 的计算机上安装了 Windows 防火墙后,便无法以远程
方
式访问目标计算机上的 RSoP 数据。
? 如果 Windows 防火墙被启用,当用户为了使用组策略结果或者组策略建模以取
得
运行 Windows XP SP2 的计算机上的 RSoP 数据而运行 GPMC 的时候,将无法取得
这些数据。
我应该如何解决这些问题?
下表总结了在使用 Windows XP SP2 时为远程 RSoP 提供远程支持所需进行的修改
。请参见以下说明了解更多细节信息。
必需的修改 管理员计算机上的 Windows XP SP2 目标计算机上的 Windows XP
SP2
启用”自定义开放端口“策略设置
无需修改
必需(端口 135 和 3001)
启用”允许文件和打印共享“策略设置
无需修改
必需
管理 DCOM 身份验证
无需修改
必需(针对被委派的 RSoP)
安装 GPMC 和 Service Pack 1
必需
无需修改
启用”自定义开放端口”策略设置
目标计算机必需侦听正确的网络端口,确保传入的 RSoP 请求得到服务。可以使用
以下新的策略设置,通过组策略对其进行管理:
Computer Configuration\Administrative Templates\Network\Network
Connecti
ons\Windows Firewall\[Domain?| Mobile] Profile\Define Custom Open
Ports
Ports 135 和 3001 应该开放,以支持远程 RSoP。
您应该意识到,启用策略设置还可能导致有害数据从这些端口进入系统。在环境中
启用该设置之前,请确信已经全面审查了该策略设置。
定义”允许文件和打印共享“策略设置
在使用远程 RSoP 时,还应该在目标计算机上启用本策略设置。本策略设置位于:
Computer Configuration\Administrative Templates\Network\Network
Connecti
ons\Windows Firewall\[Domain?| Mobile] Profile\Allow File And Print
Shar
ing
管理 DCOM 身份验证
默认情况下,只有当发起请求的个人为目标计算机上的本地管理员时,才能够远程
使用组策略结果(Group Policy Results)和 RSoP 管理单元。从 Windows
Serve
r 2003 开始提供了一种新的委派模式,允许将权限委派给目标计算机上的非管理
员
用户。一种很常见的情况就是:帮助台部门的员工需要访问计算机,但是不具有这
些计算机的管理员身份。
在 Windows XP Service Pack 2 中,围绕 DCOM 身份验证(RSoP 需要依赖它)的
安全模型已经得到了加强。即使已经正确配置了 RSoP 委派,这种增强也可以防止
非管理员取得目标计算机上的 RSoP 数据。请注意:这个问题并不会影响组策略建
模(Group Policy Modeling),因为对模拟 RSoP 数据的请求是针对运行
Window
s Server 2003 的域控制器发出的——按照定义,不运行 Windosws XP。
Windows XP Service Pack 2 为管理与 DCOM 身份验证有关的用户和组提供了一种
手段。该列表可以通过组策略进行管理。为了实现委派 RSoP 的持续使用,被授予
此权限的用户必须拥有对 DCOM 身份验证模型的全面访问能力。
请注意:通过组策略管理 DCOM 身份验证并没有在 Windows XP Service Pack 2
的
Beta 版本中实现,所以,本版本不具有远程委派 RSoP 的能力。
有关 Windows XP Service Pack 2 在DCOM 的安全性方面所做修改的更多信息,请
参阅本文档前面的 “ DCOM ”部分。
安装带有 Service Pack 1 的 GPMC
在等待组策略结果或者建模请求的结果的时候,GPMC 的最初版本使用了回调机制
。
管理计算机必须侦听此响应。因为启用了 Windows 防火墙,Windows XP
Service
Pack 2 会阻止这些响应。 虽然打开相应的端口可以解决这个问题,但是带有
Ser
vice Pack 1 的 GPMC 完全取消了回调机制。我们建议您安装带有 Service
Pack
1 的 GPMC,因为这使得组策略结果和建模可以在不开放管理计算机上的端口的情
况
下继续工作。为了安装带有 Service Pack 1 的 GPMC,请访问 Microsoft 下载中
心: http://go.microsoft.com/fwlink/?LinkId=23529 [英文].
返回页首
安全中心
安全中心是 Windows XP Service Pack 2 新增的一项服务, 它利用 Microsoft
建
议的基本安全设置,为用户修改安全设置、了解安全性以及确保用户的计算机处于
最新状态提供了一个中心位置。为了使用安全中心,可以在控制面板中双击安全中
心图标。
安全中心有何功能?
”安全中心“服务作为一个后台进程运行,检查用户计算机上以下组件的状态:
? 防火墙
安全中心检查 Windows 防火墙的开启状态。它还通过查询参与厂商提供的特定
WM
I 提供者,检查是否存在其它软件防火墙。
? 病毒保护
安全中心通过查询参与厂商提供的特定 WMI 提供者,检查是否存在防病毒软件。
如
果有相关信息可用,安全中心服务还确定软件是否为最新,以及实时扫描是否打开
。
? Automatic Updates
安全中心进行检查,确保 Automatic Updates 使用了建议的设置,可以在用户计
算
机上自动下载和安装重要更新。如果 Automatic Updates 被关闭或者没有被设置
为
建议设置,安全中心将提供适当的建议。
如果发现缺少了某个组件或者不符合安全策略,安全中心将在用户任务栏的通知区
域中放置一个红色的图标,并且在登录时提示一条警告消息。该消息包含了链接,
能够打开安全中心的用户界面,界面里显示了与问题有关的信息,并且提供了解决
问题的建议。
如果用户正在运行安全中心无法检测到的防火墙或防病毒软件,用户可以设置安全
中心,绕过针对这一部分的警告。
在控制面板中,安全中心还充当了一个起点,包含了有关安全性的控制面板项目以
及与安全性有关的 Web 链接。
本特性适用于哪些用户?
默认情况下,本特性适用于工作组中的所有计算机,也就是说,没有加入域的计算
机。
通过使用组策略设置,管理员可以启用本特性,使之用于 Windows 域中的计算机
。
为什么说此项修改是重要的?
此项修改提供了一个简单的自动化报警机制,帮助用户加强计算机的安全性,并且
降低网络威胁带来的风险。
它有助于缓解哪些威胁?
用户经常不能确定使用何种安全技术和设置来保护他们的计算机免遭网络攻击的侵
袭。随着病毒的不断出现,以及越来越多的用户通过“永远在线”的宽带连接访问
网络,这个问题正在变得日益突出。安全中心为用户提供了一条容易的途径,确保
他们永远处于防火墙的保护之下,永远运行最新的防病毒软件,以及计算机能够自
动获得来自 Microsoft 的最新重要更新。
它的工作方式有何不同?
安全中心本身不会引起使用方式的任何变化,但是会影响应用程序或服务。但是,
安全中心有助于强制使用来自于 Microsoft 或第三方并且可能会产生兼容性或其
它
问题的安全组件。例如,请参见本文档的 “ Windows 防火墙 ” 一节,了解可能
由于组件兼容性而产生的问题。
在 Windows XP Service Pack 1 中,可以使用 /quiet 选项安装服务包,这样,
服
务包的安装过程对于用户来说是透明的。但是,如果使用 /quiet 或 /q 选项安装
Windows XP Service Pack 2,在安装完成后,在第一次交互登录时会显示控制面
板里的安全中心,以便用户可以审查安全设置。
说明:如果在一个域环境中安装 Windows XP Service Pack 2,安全中心特性则由
组策略控制,默认情况下并没有被启用。
我应该如何解决这个问题?
在行为上不会有影响应用程序或服务的任何变化(除了上面说明的)。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
在 Windows XP 的较早版本中,控制面板中没有“安全中心”类别。相反,与安全
性有关的各个控制面板项目零散地分布在各个类别之中。
Windows XP Service Pack 2 新增或修改了哪些设置?
注册表设置
有三个针对安全中心的注册表设置。这些设置决定了用户是否会获得针对某个给定
特性的警告。如果某个键被设为 0 或者不存在,针对本特性的通知和警告系统则
被
启用。如果某个值存在或者不为 0,那么将禁用针对本特性的通知和警告系统。
如果启用了安全中心,下表中介绍的这三个设置会显示在安全中心的用户界面中。
设置的名称 位置 先前默认值(如果有) 默认值 可能的值
AntiVirusDisableNotify (DWORD)
HKEY_LOCAL_MACHINE\
SOFTWARE \Microsoft\Security Center
N/A
0
0、1
FirewallDisableNotify (DWORD)
HKEY_LOCAL_MACHINE\
SOFTWARE \Microsoft\Security Center
N/A
0
0、1
UpdatesDisableNotify (DWORD)
HKEY_LOCAL_MACHINE\
SOFTWARE \Microsoft\Security Center
N/A
0
0、1
组策略设置
有一个针对安全中心的组策略设置。该设置决定了安全中心的用户界面和警告系统
是否已经启用,以及是否能够被计算机已经加入了 Windows 域的用户所使用。如
果
设置没有被启用,没有被设置为 Off,或者没有经过配置,将无法在加入域的计算
机上使用安全中心。如果设置被设置为 On,则在所有计算机上启用安全中心,而
无
论计算机是否为 Windows 域的成员。注意:如果用户不是一个使用了组策略的
Wi
ndows 域的成员,则不可能禁用安全中心。
如果某个组织决定在组织内的计算机上使用安全中心,必须将组策略设置修改为
O
n。在将安全中心作为 Windows XP Service Pack 2 的一部分安装到计算机中后,
在用户首次登录时,安全中心会打开,让用户了解新增的功能特性。我们建议您将
此行为告知用户,以便引起不必要的担心。
设置的名称? 位置 先前默认值(如果有) 默认值 可能的值
打开 安全中心(仅限 Windows 域中的计算机)
Administrative Templates \System\ 安全中心
N/A
没有配置
On, Off
为了能够在 Windows XP Service Pack 2 下使用,我需要修改代码吗?
代码无需修改即可与安全中心配合工作。
返回页首
Setup
Setup 有何作用?
Setup 是一个在计算机上安装和配置操作系统的程序。在最初安装 Windows XP 的
时候,Setup 将安装和配置操作系统,让它能够正常运行在计算机上。
通常,用来安装和配置软件程序的任何程序都被称作 Setup。但是,在 Windows
X
P 中,在操作系统投入运行之后,便有了两种不同的程序,负责对程序加以安装和
配置。当用户在 Windows XP 上安装 Windows XP Service Pack 2 或者其它软件
更
新的时候,Service Pack Installer 会更新和修改现有的 Windows XP 系统。如
果
需要安装、配置或升级某个应用程序,例如 Microsoft Office,这个工作将由
Wi
ndows Installer 完成。
本特性适用于哪些用户?
负责安装或部署 Windows XP Service Pack 2 的所有用户或管理员都应该熟悉本
特
性发生的变化。
Windows XP Service Pack 2 在本特性中增加了哪些新的功能?
Package Installer for Windows
详细描述
Package Installer for Windows(Update.exe)用来安装 Windows XP Service
P
ack 2。这是一种不同于安装完整操作系统的安装技术。Service Pack 1 for
Wind
ows XP 和 Service Pack 2 包含的 Package Installer 存在一些小的差异。有关
Package Installer 的完整讨论,请参见 Microsoft 站点上的 “ Inside
Updat
e.exe - The Package Installer for Windows and Windows Components “ 一
文
: http://go.microsoft.com/fwlink/?LinkId=26004 [英文].
Windows XP Service Pack 2 对 Package Installer 所做的修改包括:
? 命令行开关参数
Microsoft 已经为 Installer 的开关参数制定了一个标准,该标准将于今年末推
出
。没有使用新的开关参数替代 /D 和 /S 的参数功能;老的参数仍然有效。下表介
绍了Package Installer 使用的先前参数、新增参数和遗留参数:
老参数 新参数 描述
无
/Uninstall
删除更新或服务包
/?
/Help
显示帮助信息
/D:FolderName
无
在安装服务包时,将文件备份到制定文件夹。
无
/ER
启用扩展返回代码(有关扩展返回代码的更多信息,请参阅 “ Inside Update.
e
xe-The Package Installer for Windows [英文] ”白皮书的附录F。)
/F
/F
/F
在安装完成之后重新启动计算机时,强行关闭其它应用程序。
无
/Forcerestart
在安装完成后强制用户重启计算机。
/L
/L
列出已安装的热修补(仅限 Windows 更新)。
/N
/N
不备份文件,以供今后删除服务包或热修补使用。在“添加或删除程序” 中,不
为热修补提供“删除” 按钮,所以无法对其进行卸载。
/O
/O
在不提示用户的情况下覆盖 OEM 的文件。
/Q
/Quiet
使用安静模式,它与无人干预模式相同,但是隐藏了用户界面。在安装过程中不
会
出现提示。
/S:FolderName
无
将操作系统映像与 Windows XP SP2 一同放在一个用于分发的共享文件夹中,以
实
现集成化安装。在使用此参数时,请在冒号之后输入共享文件夹的名称(仅适用于
服务包特性)
/U
/Passive
使用无人干预安装模式。在安装过程中只显示重要错误和进度条。
/Z
/Norestart
安装完成后不重新启动计算机。
? /O command line switch
Installer 增加了命令行参数 /O ,防止 Update.exe 对原始设备制造商(OEM)
提
供的文件(例如视频驱动程序)执行过度搜索。如果您希望覆盖 OEM 提供的 所有
文件,可以使用此参数。默认情况下,不会覆盖 OEM 文件。
? 性能考虑事项
由于 Windows XP SP2 包含了大量的修改,所以该服务包的体积非常大。再加上
W
indows?XP SP2 包括的其他功能和特性,安装时间可能会增加。我们建议您将在一
台标准的桌面计算机配置上的 Windows?XP SP2 安装时间估计为 30 分钟。实际的
安装时间将根据计算机的类型和性能以及具体的安装方式而有所变化。
? 防病毒软件
尽管防病毒软件是保持计算机安全的一个至关重要的因素,但是它也会影响到服务
包的整体安装时间。在安装服务器期间,请禁用防病毒软件,这样可以把安装时间
最大缩短 20%。如果您决定禁用防病毒软件,请确信已经意识到了这种做法的危险
性,并且应该在服务包安装完毕之后重新启用它。
返回页首
Windows Installer 3.0
Windows Installer 3.0 有何作用?
Windows Installer 服务定义和管理着一个针对应用程序的安装、设置和升级的标
准格式。它跟踪组件(例如文件组、注册表项目和快捷方式)的变化。Windows
In
staller 是一个驻留于系统中的安装服务,提供了连续一致的部署,允许管理员和
用户管理共享资源,定制安装进程,围绕应用程序的使用制定决策以及解决出现的
配置问题。
Windows Installer 3.0 是该服务的最新版本,并且包括在 Windows XP
Service
Pack 2 之中。
本特性适用于哪些用户?
本特性适用于:
? 应用程序开发人员
? 应用程序安装程序的作者
? 涉及软件分发工作的系统管理员
Windows XP Service Pack 2 为本特性增加了哪些新功能?
对补丁管理的支持
详细描述
Windows Installer 3.0 为软件分发系统提供底层基础结构,以便为基于
Windows
Installer 的应用程序定位和安装更新。得到增强的清单功能使得管理员可以跨
越
用户和安装上下文检测产品、特性、组件和补丁。新增的三个函数可以在将完整的
补丁下载到目标计算机之前,确定计算机是否有必要安装该补丁。这些新函数是:
? MsiEnumProductsEx 函数,可以列举出当前被通告或者在特定上下文中安装的一
个或所有产品实例。
? MsiEnumPatchesEx 函数,列举特定上下文或者所有上下文中安装的所有补丁。
已
经应用于产品的补丁都将被列出。已经注册但是尚未应用的补丁也会被列出。
? MsiDetermineApplicablePatches 函数,通过由补丁文件、XML 文件、XML
BLOB
以及一个 .msi 文件组成的一组文件,决定在 Windows Installer 程序包上应用
哪些补丁,以及以何种顺序应用补丁。该函数可以考虑替代补丁或废弃补丁。该函
数不会考虑那些在系统中安装,但是没有在文件集合中指定的产品或补丁。
为什么说此项修改是重要的?
Software Update Services(SUS)2.0 使用该补丁管理基础结构在基于
Windows
Installer 的产品上检查和应用补丁。这意味着:与先前版本相比,利用 SUS 升
级
使用 Windows Installer 3.0 进行安装的产品的过程将更加轻松。
它有助于缓解哪些威胁?
Windows Installer 3.0 和 Software Update Services 2.0 使得用户可以更容易
地利用最新的补丁保持计算机处于最新状态。确保最新补丁能够应用于应用程序和
服务,保护系统免受已知漏洞的攻击。
小巧、可靠的补丁
详细描述
Setup 的作者可以使用 Windows Installer 3.0 创建使用 Microsoft 的 delta
压
缩技术的补丁程序包(文件扩展名为 .msp 的文件)。Delta 压缩技术使用了二进
制文件之间的差异,而不是使用整个文件,从而显著降低了补丁的体积。在先前版
本的 Windows Installer 中,delta 压缩有时会引起安装程序提示用户插入原始
安
装介质(例如,应用程序的原始 CD),而用户经常不能提供此介质。Windows
Ins
taller 3.0 会缓存补丁所要修改的文件的基础版本 ,然后将该基础版本作为后续
Delta 压缩补丁的目标。Setup 的作者应该创建使用基础产品版本的补丁。这样
,
用户无需提供原始安装介质即可成功应用补丁。
为什么说此项修改是重要的?
如果补丁程序比较小,易于下载,而且不需要用户执行复杂的操作即可安装,那么
用户就更有可能通过补丁让应用程序保持最新。
它有助于缓解哪些威胁?
通过确保在服务和应用程序上应用最新补丁,可以抵御针对已知漏洞的攻击。
删除补丁
详细描述
Windows Installer 3.0 支持补丁的删除,虽然某些应用程序的开发人员开发的补
丁无法被删除,例如程序的重大升级补丁。大多数补丁提供了帮助文档,告知用户
补丁是否能够被删除。
针对基于 Windows Installer 的应用程序的补丁可以使用控制面板、命令提示符
或
者直接调用 Windows Installer 3.0 中新的 MsiRemovePatches 函数删除。(关
于
MsiRemovePatches 函数的更多信息,请参阅上文。)
在删除某个补丁之后,计算机就像从来未安装该补丁一样。在安装和删除补丁的时
候,计算机的状态(包括文件、注册表键等等)与安装补丁之前的状态完全一致。
补丁可以以任何顺序删除。
Windows Installer 3.0 在删除补丁时使用了一种专门的重新安装模式。从概念上
说,删除补丁是一个重新安装受补丁影响的实体的过程。在删除补丁时,只考虑那
些经过修改的文件;产品中所有的其它文件都保留不变。受补丁影响的文件会恢复
到补丁安装前的版本。如果补丁明确地删除了某个现有补丁,那么删除第二个补丁
的操作会恢复第一个补丁。如果删除的补丁用于替代现有补丁,那么将恢复被替代
的补丁。
此外,那些没有被明确卸载的补丁也会被删除,只要它们不再适用于系统。例如,
一个旨在实现次要更新的补丁在该次要更新被删除之后也会被自动删除。
为什么说此项修改是重要的?
如果用户和管理员相信补丁所做的修改在需要时能够可靠地还原,那么他们将更愿
意部署和安装补丁。
它有助于缓解哪些威胁?
此项修改删除了阻扰补丁部署的一个障碍。它为用户和管理员删除补丁以解决潜在
的兼容性问题提供了一个机制。
对来源列表的支持
详细描述
借助于 Windows Installer 3.0,管理员可以更好地管理产品和补丁的来源列表。
新的函数实现了产品来源(包括网络、URL以及介质来源)的完全静态管理,并且
支
持外部进程对 Mictosoft Installer 来源列表的读取、编辑和替换操作。
Windows
Installer 3.0 包括了用于管理来源列表的以下 3 个新函数:
? 新的 MsiSourceListEnumSources 函数用来列举某个产品的当前来源。通过与现
有函数结合适用,该函数可以清除最近使用的来源以及添加新来源,以便有预见性
地管理产品和补丁的来源,让连接到网络的用户不必对已安装产品的来源路径加以
追踪。
? 新的 MsiSourceListAddMediaDisk 函数让管理员能够修改卷标和磁盘 ID,方便
基于 MSI 的应用程序的定制介质的分发工作。
? 新的 MsiSourceListSetInfo 函数让管理员能够修改介质程序包的路径属性,以
便创建包括多个应用程序的定制介质(CD 或 DVD),方便移动用户修复他们的系
统
。
为什么说此项修改是重要的?
为了让应用程序具有弹性,在某些需要应用补丁或者按需安装的情况中,
Windows
Installer 可能需要访问应用程序的原始安装介质。此项修改使得管理员能够更好
地管理产品的来源列表。
它有助于缓解哪些威胁?
管理员可以管理产品来源列表,确保补丁得到成功的部署和安装。而保证服务和应
用程序能够应用最新的补丁则有助于防范针对已知漏洞发起的攻击。
顺序
详细描述
新的 Windows Installer 3.0 补丁顺序表让补丁的作者能够为在目标计算机上应
用
更新的顺序提出明确的指令。更新将按照一种连续一致和可预期的顺序应用到目标
应用程序上,而不管它们提供给用户的物理顺序如何。使用补丁顺序表,作者可以
可靠地更新没有版本标记的文件。没有顺序表的补丁将按照它们提供给 Windows
I
nstaller 的顺序进行应用。
为什么说此项修改是重要的?
在应用补丁时,顺序表可以保证结果的一致性和可预期性。在多个补丁都会影响同
一个文件或注册表设置时,这一点尤为重要。
它有助于缓解哪些威胁?
管理员可以使用顺序来保证补丁得到成功的部署和安装。而保证服务和应用程序能
够应用最新的补丁则有助于防范针对已知漏洞发起的攻击。
Windows XP Service Pack 2 对哪些现有功能进行了修改?
不再支持 FTP 和 GOPHER。
详细描述
Windows Installer 3.0 只使用 WinHTTP 处理 URL 下载。Windows Installer 的
先前版本依赖于 WinINet 访问标准的 Internet 协议。但是,WinHTTP 不支持
Wi
nINet 支持的这些协议。所以,Windows Installer 3.0 不再支持 FTP 和
GOPHER
协议。HTTP、HTTPS 和 FILE 协议依然受支持。
有关 WinHTTP 安全性的更多信息,请参阅 “关于 WinHTTP ” :http://go.
micr
osoft.com/fwlink/?LinkId=23097 [英文].
为什么说此项修改是重要的?
WinINet 不支持服务器的实现方式,而且不应该从某个服务中使用。WinHTTP 比
W
inINet 更加安全和健壮。
它有助于缓解哪些威胁?
WinHTTP 被设计为能够在系统服务和基于 HTTP 的客户端应用中使用。WinHTTP 比
WinINet 更加安全和健壮。
它的工作方式有何不同?
Windows Installer 3.0 无法下载通过 FTP 和 GOPHER 协议进行下载的程序包。
我应该如何解决这个问题?
如果您的应用程序使用 GOPHER 或 FTP 下载 URL 补丁,必需修改应用程序,使其
能够使用 HTTP、HTTPS 或 FILE 协议。
Windows Installer 服务不再具有交互性
详细描述
Windows Installer 服务运行在 Local System 账户的安全上下文中。在先前版本
的 Windows 中,Windows Installer 的服务属性可以被设置为
SERVICE_INTERACT
IVE_PROCESS。这使得 Windows Installer 服务具有了交互性。一个交互服务可以
显示它自己的用户界面,并且接收用户输入,并因此成为一个安全薄弱环节。
所以,Windows Installer 3.0 服务现在不再具有交互性。
为什么说此项修改是重要的?
在 Local System 上下文中运行的交互服务允许用户向运行于不同安全上下文中的
程序发送消息,并且可能招致某些攻击。
它有助于缓解哪些威胁?
用户将无法与 Windows Installer 服务进行交互。
为了让代码能够运行在 Windows XP Service Pack 2 之下,我需要修改代码吗?
不需要。为 Windows Installer 2.0 创建的安装程序包和补丁可以使用
Windows
Installer 3.0 进行安装。在安装针对 Windows Installer 2.0 制作的程序包或
补
丁时,Windows Installer version 3.0 会忽略 3.0 版本引入的新的数据库表。
返回页首
Windows Update
Windows Update 有何作用?
用户可以通过 Windows Update 获得针对 Microsoft Windows 的补丁和软件更新
,
让计算机始终保持最新。利用 Windows Update,用户可以选择针对计算机的操作
系
统、软件和硬件的更新。站点会定期添加新内容,确保用户总是能够获得最新的更
新和修补,保护计算机的安全和顺畅运行。
Windows Update 是 Windows Update Services 的一个组件,为 IT 管理员提供了
与 Windows Update 服务器同步更新,区分更新的优先级以及在整个企业环境内分
发更新的能力。
在 Windows XP Service Pack 2 之前,Windows Update 仅仅提供了针对
Windows
操作系统内置组件的服务,例如 Internet Explorer、Windows Media Player 和
Windows Messenger。在 Windows XP Service Pack 2 中,带有 Windows
Update
Services 的 Windows Update 提供了两种服务:
? Windows Update。该服务提供了针对 Windows 组件的安全补丁和更新。此外,
该
服务还将不断为用户提供驱动程序。
? Microsoft Update。该服务为 Windows 组件以及其它 Microsoft 产品提供了安
全补丁和更新。除 Windows 组件之外,将在 Microsoft Update 中进行支持的第
一
批应用程序包括 SQL、Exchange 和 Office。Microsoft Update 是 Windows
Upda
te 的超集。
Windows 用户可以通过 Web 站点或者 Automatic Updates 与这两个服务进行交互
。在本文写作之时,只有 Windows Update 服务可用;Microsoft Update 将于稍
后
的时间推出。
本特性适用于哪些用户?
Windows Update 和 Microsoft Update Web 站点面向那些没有启用 Automatic
Up
dates,但是希望 Windows 操作系统和应用程序保持安全、可靠和最新的所有
Win
dows Internet 用户。此外,Windows Update 站点对于那些对非关键更新感兴趣
的
Windows 用户也是必要的,因为这些更新无法通过 Automatic Updates 获得。
Windows XP Service Pack 2 为本特性增加了哪些新功能?
面向 Microsoft 应用程序的更新
详细描述
新的 Microsoft Update 服务提供了针对 Microsoft 应用程序的安全补丁和更新
,
例如 Office、SQL 和 Exchange。当用户访问 Microsoft Update 站点或者启用了
Automatic Updates 的时候,可以获得所有相关的更新。Windows 和所有受支持
的
应用程序可以自动保持安全,用户不再需要访问多个位置搜索更新。
为什么说此项修改是重要的?
以前,用户必须访问多个位置才能保持 Windows 组件和应用程序的安全可靠。现
在
,如果用户启用了 Automatic Updates,Windows 以及相关程序便可以保持安全和
最新。选择访问 Microsoft Update 站点的用户也可以在一个位置获得所有更新。
它有助于缓解哪些威胁?
此项修改有助于减轻用户忽视为其它 Windows 程序安装更新所带来的风险。用户
可
以在针对 Windows 和其它 Microsoft 程序中包含的已知漏洞发起的攻击面前保持
安全。
它的工作方式有何不同?
用户现在可以通过访问 Microsoft Update 站点、点击“快速”(Express)或者
开
启 Automatic Updates,来始终如一地获得安全更新和针对 Windows 内容和其它
程
序的高优先级补丁。用户能够通过一种机制,在一个位置获得针对 Windows 内容
和
其它程序的安全更新和补丁。访问 Microsoft Update 站点并且点击了“定制”(
Custom)选项的用户可以获得安全更新和高优先级补丁,以及具有较低优先级的其
它可选更新。
“快速”(Express)和“定制”(Custom)安装选项
详细描述
用户访问 Windows Update Web 站点,搜索最重要的更新,便可在最短时间内对计
算机进行更新。“快速”(Express)和“定制”(Custom)安装选项可以帮助用
户
在整个站点中快速查找最适合他们需要的路径——迅速获得所有高优先级更新,或
者花费更多时间浏览并选择可选更新。 为什么说此项修改是重要的?
计算机的更新过程应该是一个简便快捷的过程。此项修改简化了步骤和选项,让更
新过程更加快捷,同时减少出现错误的机会。此外,此项修改还为用户提供了更大
的灵活性和更多选择。
为了改善用户体验,Windows Update 主页现在提供了两种模式:
? “快速”安装提供了预先选择的重要更新。在此模式下,无法对更新列表进行编
辑。
? “定制”安装为用户赋予了对预选重要更新的全面控制,用户可以隐藏、删除更
新项目,或者选择其它相关更新。
它有助于缓解哪些威胁?
这种设计有助于减轻用户查找重要安全更新时的困惑。反过来,它又可以帮助用户
快速安装更新,避免已知漏洞的危害。
它的工作方式有何不同?
Windows Update 页面已经经过修改,在页面中导航和选择更新时的操作步骤也发
生
了变化。但是 Windows Update 的基本功能并没有发生变化。
Windows Update 和 Microsoft Update 主页
详细描述
Windows XP Service Pack 2 在 Windows Update 和 Microsoft Update 主页中添
加了以下增强。
? 经过修订的视觉设计
用户会注意到,新的页面头部和页脚已经变得与其它所有 Microsoft.com 保持一
致
。页面布局和链接被简化,因而更易于使用。
? Automatic Updates 设置
许多用户没有意识到可以使用 Automatic Updates 特性保持系统的安全和最新。
W
indows Update Web 站点会提醒用户当前的 Automatic Updates 设置情况,向用
户
提出最佳设置建议,确保他们能够不断获得最新安全更新,同时为修改设置提供了
一条手段。
? 有关更新的新闻
如果发现了一个关键问题,而且 Microsoft 认为用户应该了解这一问题。
Windows
Update 主页的 “News from Microsoft” (来自 Microsoft 的新闻)部分便会
显示该信息。此外,它还可以提供一些有益的提示,帮助用户将计算机保持最新。
? 管理员信息
许多用户没有意识到 Windows Update 为已发布更新提供了一个被称为 Windows
U
pdate Catalog(Windows 更新目录)可搜索目录。Windows Update Web 站点使用
了一个检测进程来确定用户应该安装哪些更新,而 Windows Update Catalog 却没
有使用该进程,所以,我们建议大多数用户不要使用目录。但是,需要为其它计算
机管理更新的高级用户可能希望使用该特性。Windows Update 还提供了有关
Wind
ows Update Services 的信息。
内容的组织和导航
详细描述
对 Windows Update 和 Microsoft Update 站点的内容组织和导航方式进行的修改
包括:
? 更新的分类
左边导航条中的更新分类经过了修改,以便随着时间推移,容纳来自各个产品部门
和提供商的更多更新。命名方式进行了标准化,以实现一致性和方便使用。
? 单独安装更新
某些更新必须与其它更新分开单独安装。Microsoft 正在努力减少这种更新的数量
。如果需要安装此类更新,更新的选择和安装过程已经得到了优化。如果为用户提
供了一个“单独安装”更新,用户可以单独选择该更新,或者选择其它适用于计算
机的更新。通过在选择和安装过程开始时做出此选择,用户不必在过程结束时再返
回来修改先前做出的选择,而这在以前是不可能。
? 取代更新
某些更新会替代或替换先前安装的更新。例如,一个包括了安全补丁 A 的服务包
会
取代安全补丁 A。Windows Update 会自动为用户提供最新的可适用更新,所以他
们
无需在最新版本和先前版本中进行选择。在更早版本的 Windows Update 中,用户
会同时看到取代更新和被取代更新,这样会造成混淆。
? 更新细节信息
Windows Update 的用户始终请求更多与 Windows Update 所提供更新有关的信息
。
这样的例子包括:卸载方法、支持信息以及有关内容提供商的详细信息。为了满足
用户的这种要求,Windows Update 的详细信息页面经过了修订,可以提供固定集
合
的信息,让有关更新的详细信息更加一致和具有可操作性。
? 选择所有
许多用户请求提供一个只需一次点击即可选择所有更新的选项。虽然 Windows
Upd
ate 仍然会自动选择适合计算机需要的高优先级更新(使用“快速安装”路径)。
但是如果用户希望选择所有可用的相关更新,现在也可以在“定制安装”路径中,
通过一次点击来选择所有更新。
? 隐藏和恢复更新
用户可能会偶尔得到一个并不希望安装的更新。现在,用户可以隐藏这些不希望看
到的更新。这使得更新列表不会因为这些不想要的更新而变得拥挤不堪。如果在后
来改变了主意,用户可以访问“恢复被隐藏的更新”(Restore Hidden Updates)
页面重新找回这些更新。
? Beta 软件
Windows Update 可能 会附带一些 beta(预发布)版软件,有时也会提供针对
be
ta 软件的更新。Microsoft 发现,并不是所有的用户都适合使用或希望使用
beta
软件。如果用户希望在访问 Windows Update 时获得 Beta 软件,可以访问 “高
级”(Advanced)设置,然后选择 “显示 Beta 产品和相关更新”。
? 智能下载
如果用户在下载更新时 Internet 连接中断,在下次下载更新时,将从上一次中断
的地方继续下载。此外,如果用户选择使用 Automatic Updates,Windows
Update
Web 站点将不会复制 Automatic Updates 已经下载的所有更新。在以前,如果
A
utomatic Updates 下载了一个更新,而用户并没有安装它,在用户访问
Windows
Update 站点并选择安装它时,则会再次下载更新。
? 驱动程序的细节信息
用户要求了解与 Windows Update 提供的驱动程序有关的更多信息。现在,
Window
s Update 通过设备管理器为用户提供信息,所以用户可以了解到为何会向其提供
某
个驱动程序,并且正确决定是否安装该驱动程序。可能的选项包括:
? PNP Status = Device disabled(设备被禁用):Windows Update 建议用户安
装
该更新,因为该驱动程序适用的 DriverClass 设备看来已经被禁用。
? PNP Status = Device problem(设备存在问题):Windows Update 建议用户安
装该更新,因为该驱动程序适用的 DriverClass 设备看来工作并不正常。
? PNP Status = Device no driver(设备没有安装驱动程序):Windows
Update
建议用户安装该更新,因为该驱动程序适用的 DriverClass 设备似乎没有安装任
何
驱动程序。
可支持性
详细描述
为了提供更有效的自助服务和解决服务/内容存在的故障,以及向产品支持工程师
为
用户服务时能获得更好的信息,Windows Update 和 Microsoft Update 站点增加
了
在可支持性方面进行了如下增强:
? 问题解决程序搜索
对于用户在使用 Windows Update 的过程曾经遇到过的问题,我们已经提供了解决
这些问题的方法和过程。这些问题可能包括站点使用问题或者与使用 Windows
Upd
ate 安装内容有关的问题。Windows Update 的问题解决程序的搜索和过滤功能已
经
得到改进,用户可以更容易地查找和定位相关帮助内容。
? 历史
现在,更新历史特性包括了与用户所安装更新以及可能会遇到的安装问题有关的更
多细节信息。以前,在更新安装失败时,用户不会得到任何指示信息,告知如何进
行下一步工作以解决遇到的问题。而现在,通过点击状态栏中的“失败”(
Failed
)标志,会出现一条更加有用的错误信息(如果可用),告知哪些内容在安装时发
生失败。此外,现在还提供了更加直观的更新信息分页、导航和打印选项。
? 经过改进的消息
假如出现错误,Windows Update 会自动搜索 “帮助和支持”,查找有关该错误的
更多信息,并提供可能的解决办法。如果存在相关的帮助信息,用户便可以在出现
错误信息时看到这些帮助信息。这样便节省了 Windows Update 用户在 “
Windows
Update 故障处理” 部分自行搜索信息所需的时间。
为什么说此项修改是重要的?
这些新增加的功能特性和修改可以帮助用户通过 Windows Update 站点,查找和安
装各种类型的更新。反过来,它可以帮助用户免遭各种针对已知漏洞发起的攻击。
--
我好咸湿
※ 修改:·presses 於 Aug 16 11:38:47 修改本文·[FROM: 210.21.224.236]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 210.21.224.236]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店