Win SP2

K-OTik Security suspend sa recommandation de retarder l'installation de XP SP2

Par l'Equipe Technique © K-OTik.COM - Après plusieurs jours de tests et d’évaluation dans différents environnements de production, l'équipe technique K-OTik Security suspend sa recommandation de retarder le déploiement de Windows XP SP2, et conseille fortement l'installation de cette mise à jour.

Les problèmes de fonctionnement qu'ont certains logiciels sous le Service Pack 2, sont directement liés au firewall IFC2, et sont aisément contournables via une bonne configuration des "Exceptions" du firewall. Les "incompatibilités", très rares quant à elles, relèvent exclusivement de la responsabilité des éditeurs et non pas de Microsoft. Les éditeurs "sérieux", se sont rapidement adaptés à cette nouvelle technologie, et ont d’ores et déjà développé un patch-SP2.


Contrairement à ce qu'affirment certains médias plus ou moins spécialisés, la seule et unique vulnérabilité (sérieuse) découverte dans Windows XP SP1 et SP2 concerne Internet Explorer. Le bulletin publié par Heise Security (un site allemand), décrivant un bug dans le nouveau mécanisme de sécurité implanté avec le SP2 [empêchant l'exécution de fichiers appartenant à des zones non sécurisées, en se basant sur leur Zone Identifier –ZoneID], n’est absolument PAS considéré comme une faille de sécurité.

L'unique scénario d’exploitation possible, impliquerait une interaction forte avec l'utilisateur (qui devra télécharger, puis exécuter un fichier arbitraire non pas via le doubleclick, mais depuis l'interpréteur de commandes Windows).

Même si le Service Pack 2 accroît fortement la sécurité, il ne protégera PAS les utilisateurs de leur propre bêtise (No patch for stupidity).

» Voir aussi - Réactions/commentaires des administrateurs ayant installé le Service Pack 2

Par l'Equipe Technique © K-OTik.COM
==================================================================
Envoyez vos commentaires retours d'expériences à : xpsp2@k-otik.com
Commentaires :

Nous avons reçu plusieurs dizaines de commentaires, ci-dessous le résumé des tendances et humeurs post installation SP2.


Par J.B - Installation sur une partie du parc informatique (18 machines sur un total de 32). pour l'instant je n'ai que
quelques problèmes de "vitesse" dans la procédure de log (identification).

PS : J'ai été agréablement surpris par le nouveau firewall XP qui est mille fois plus puissant que l'ancienne version
(trop basique à mon goût).


Par Arnaud - J'ai installé les RC1 puis la RC2 (version US) dès leur sorties pour tests. Je n'ai malheureusement pas
la possibilité d'installer pour le moment la version finale.

Je n'ai eu aucun problème, que cela soit avec les programmes de la liste, ou non, qui ne puisse se résoudre par
une exception dans le firewall (la plupart des exceptions étant proposées par le firewall a l'ouverture du programme).
De ce fait, je trouve exagéré le bruit ainsi que les réserves effectuées sur ce service pack.


Par N.G - bonjour, j'ai des problèmes liés à la limitation du nombre de connexions simultanées imposé par le SP2.

Solution : En voulant limiter les effets de vers comme Sasser ou Blaster, Microsoft à bridé le nombre de connexions
TCP à 10 par interface. Pour supprimer cette limitation, il faudra modifier le registre :

Dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Ajouter une valeur DWord appelée TcpNumConnections,
Modifier la valeur hexadécimal (double click) et indiquer : fffffe

Note : Certains sites préconisent la modification du fichier TCPIP.SYS - Cette méthode est fortement déconseillée,
elle pourrait entraîner des dysfonctionnement sérieux.


Par Ivan - Sur la fenêtre "Système" du panneau de configuration, l'onglet "Mises à Jour Automatiques" apparaît
deux fois.



Solution : http://support.microsoft.com/default.aspx?scid=kb;FR;19964

Note : Dans certains cas, la modification du registre (cf. lien MS) provoque la suppression totale de l'onglet. il
est donc conseillé de sauvegarder cette branche du registre avant modification.


Par Ivan - Le client Novell pour XP (preSP2) n'a pas supportée le SP2. Apres application, au moment du login,
reboot du poste de façon systématique. Cela complique la mise à jour d'un parc comportant des clients Novell.

Solution : Boot sans échec, désinstallation du client Novell preSP2, reboot normal, réinstallation du client Novell
postSP2, reboot final.


Par N.G - bonjour, j'ai retardé le déploiement du nouveau SP2 sur nos machines [plus de 50 XP-SP1],
j'ai opté pour une installation "testing" sur deux pc uniquement, je me laisse le temps d'observer ...


Par Karim - bonjour, le service pack 2 bloque les connexions vers les machines ayant une adresse de boucle
locale autre que 127.0.0.1

Solution : http://support.microsoft.com/default.aspx?scid=kb;[LN];884020


Par Frank - bonjour, mon système rame et freeze quelques fois sans raison particulière, c'est l'unique problème
auquel j'ai fais face.


Par F.C - Bonjour, il semblerait que les produits Juniper Networks NetScreen SSL-VPN ne soient pas compatibles
avec Windows XP SP2. Dans un communiqué, la société à indiqué "Customers using Juniper Networks NetScreen
SSL-VPN products should NOT upgrade to Windows XP SP2 until further notice. The latest version of Windows XP
SP2, released on August 6, 2004 is not supported by Juniper Networks SSL-VPN products". à suivre ...


Par Antoine - bonjour, j'ai fini l'installation de XP SP2 sur une quinzaine d'ordinateurs : nous n'avons recensé
aucun dysfonctionnement (pour l'instant).


Par Sébastien - Bonjour, j'ai eu plusieurs problèmes de "performances" suite à l'installation du SP2.
Sur des systèmes ayant moins de 256M de RAM, l'identification utilisateur prend plus de 20 secondes,
le SP2 est donc déconseillé sur ce type de machines.


Par Ivan - Bonjour, il semblerait que le comportement post install SP2 fr soit différent du SP2 US : moins causant,
moins restrictif.


Par Hakim - Bonjour, applications ne fonctionnant pas sous Windows XP SP2 (RTM US Build) :
Sony Ericsson MMS Home Studio 1.1.285b.exe (Blocage à la fin de l’installation, Pas de mise à jour actuellement)
Sony Power Management for Vaio Laptop (Problème de sortie de mise en veille, pas de mise à jour)


Par Abdel - (problème dual boot)

bonjour, j'ai tenté d installer le SP2. il refuse de s'installer. le message d'erreur est le suivant :
"Le système de fichier de base (noyau) utilisé pour démarrer cet ordinateur n'est pas un fichier Microsoft Windows.
Le Service Pack ne sera pas installé."

Configuration : Windows XP home Edition en dual boot avec linux Mandrake 10.0

Solution : http://support.microsoft.com/default.aspx?kbid=327101




Liste des programmes dont le dysfonctionnement est lié aux règles du firewall : Le tableau ci-dessous répertorie les programmes pouvant vous obliger à ouvrir un ou plusieurs ports manuellement pour qu'ils puissent fonctionner.


Programme Éditeur Ports Exception par défaut Remarques
Visual Studio .NET Microsoft Consultez la documentation Consultez la documentation Requis uniquement pour le débogage DCOM à distance
SQL Microsoft Ports assignés dynamiquement pour RPC et DCOM Requis uniquement pour le débogage à distance
Backup Exec 9 Veritas 10000 C:\Program Files\Veritas\Backup Exec\RANT32\beremote.exe Requis uniquement pour sauvegarder un client à partir d'un serveur
Ghost Server Corporate Edition 7.5 Symantec Service de session 139-TCP-NetBIOS ; 445-TCP-SMB sur TCP ; service de nom 137-UDP-NetBIOS ; service de datagramme 138-UDP-NetBIOS Consultez la documentation Requis pour pousser un client ghost
Symantec AntiVirus Corporate Edition 8.0 Symantec Partage de fichiers et d'imprimantes L'activation de la case à cocher Autoriser le partage de fichiers et d'imprimantes ouvre ces ports : UDP 137, 138; TCP 139, 445. Requis pour installer le client
SMS 2003 Server Microsoft Activez les ports du Partage de fichiers et d'imprimantes Consultez la documentation Requis pour afficher l'Observateur d'événements du client exécutant le Service Pack 2 Windows XP
Cute FTP 5.0 XP GlobalSCAPE 21 ou serveur FTP Consultez la documentation Requis pour effectuer un transfert FTP sur un ordinateur exécutant le Service Pack 2 Windows XP
Exceed 7.0, 8.0 Hummingbird 21 ou serveur FTP Consultez la documentation Requis pour que le service FTP pour que l'Explorateur Windows puisse se connecter à des ordinateurs distants
KEA! 340 5.1 Attachmate 23 ou 'serveur Telnet' Consultez la documentation Requis pour établir une session Telnet à un hôte distant
WRQ Reflection X 10 et 11 WRQ 23 ou 'serveur Telnet' Consultez la documentation Requis pour établir une session Telnet à un hôte distant
Reflection pour IBM 9, 9.03, 10 et Reflection X 10 et 11 WRQ 21 ou serveur FTP Consultez la documentation Requis pour que le client FTP puisse se connecter à des ordinateurs distants
Smarterm Office 10 et Smarterm 11 Esker Software 23 ou 'serveur Telnet' Consultez la documentation Requis pour établir une session Telnet à un hôte distant
Smarterm Office 10 et Smarterm 11 Esker Software 21 ou serveur FTP Consultez la documentation Requis pour que l'outil FTP puisse se connecter à des ordinateurs distants
ViewNow 1.05 Netmanage 21 ou serveur FTP Consultez la documentation Requis pour que l'outil FTP puisse se connecter à des ordinateurs distants
ViewNow 1.0 et 1.05 Netmanage 6000 (TCP/IP) et 177 (UDP) Consultez la documentation Requis pour établir des sessions X-Windows
ViewNow 1 ou 1.05 Netmanage 23 ou serveur Telnet Consultez la documentation Requis pour établir une session Telnet à un hôte distant
Microsoft Operations Manager 2000 SP1 Microsoft Activez les requêtes d'écho ICMP, le Partage de fichiers et d'imprimantes et UDP Consultez la documentation Requis pour pousser l'Agent MOM sur un client exécutant le Service Pack 2 Windows XP avec le Pare-feu Windows activé
AutoCAD 2000, 2002, 2004 Autodesk 21 Consultez la documentation Requis pour parcourir des projets à l'aide de la visionneuse FTP (boîte de dialogue Ouvrir Fichier) lorsque le Pare-feu Windows est activé sur l'hôte FTP distant
Backup Exec 9.1.4691 Veritas Consultez la documentation %Program Files%\Veritas\Backup Exec\RANT\beremote.exe Requis pour sauvegarder un client exécutant le Service Pack 2 Windows XP
Windows Scanner and Camera Wizard Xerox Network Scanners 21 Consultez la documentation Requis pour que l'Assistant Scanneur-appareil photo puisse démarrer et pour que l'utilisateur puisse accéder aux images scannées
Symantec Corporate AntiVirus 9.0 Symantec Consultez la documentation Consultez la documentation Requis pour qu'en poussant la définition antivirus aux clients, l'ordinateur client accepte les mises à jour et puisse être scanné
ColdFusion MX Server Edition 6 Macromedia TCP (par défaut, 8500) Consultez la documentation Requis pour autoriser l'accès en tant que serveur Web
CA ARCserve Computer Associates Service de nom 137-UDP-NetBIOS ; service de datagramme 138-UDP-NetBIOS ; service de session 139-TCP-NetBIOS ; 704-UDP ; 1478-UDP-MS-sna-base ; service 1900-UDP-SSDP; 6050-TCP-ARCserve ; service 6051-TCP-ARCserve Consultez la documentation Requis pour les installations à distance, les licences et les communications avec les clients
EDM File System Agent 4.0 EMC 3895 Consultez la documentation Requis pour installer le client EDM à partir du serveur sur le Service Pack 2 Windows XP
Microsoft Systems Management Server 2003 Microsoft TCP:2701 %WINDIR%\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe Requis pour que les Outils de contrôle à distance puissent contrôler à distance un ordinateur client exécutant le Service Pack 2 Windows XP
Aelita ERdisk for Active Directory 6.7 Quest Software Consultez la documentation Partage de fichiers et d'imprimantes Requis pour contacter un ordinateur distant
Hummingbird Host Explorer 8 Hummingbird TCP 23 et TCP 21 Consultez la documentation Requis pour établir une session Telnet avec un client exécutant le Service Pack 2 Windows XP
BV-Admin Mobile Bind View Consultez la documentation Partage de fichiers et d'imprimantes Requis pour contacter un ordinateur distant
SQL 2000a Microsoft 1433 et 1434 Consultez la documentation Requis pour se connecter à un ordinateur distant
Backup Exec 8.6.1 Requis pour que le serveur puisse pousser l'agent distant vers un client exécutant le Service Pack 2 Windows XP
Microsoft SNA 4.0 SP3 Microsoft Consultez la documentation Partage de fichiers et d'imprimantes Requis pour voir un client exécutant le Service Pack 2 Windows XP
Extra! Personal Client 6.5 et 6.7 Attachmate Serveur Telnet ou port 23 Consultez la documentation Requis pour établir une session Telnet à un hôte distant
Extra! Enterprise 2000 Attachmate Serveur Telnet ou port 23 Consultez la documentation Requis pour établir une session Telnet à un hôte distant
Extra! Bundle for TCP/IP 6.6 Attachmate Serveur Telnet ou port 23 Consultez la documentation Requis pour établir une session Telnet à un hôte distant
Volume Manager 3.1 Veritas 2148 c:\Progam Files\Veritas\Veritas Object Bus\Bin\vxsvc.exe Requis pour se connecter à un client exécutant le Service Pack 2 Windows XP
BMC Patrol pour Windows 2000 BMC Software Sur l'ordinateur (client) exécutant le Service Pack 2 Windows XP : ports TCP 3181, 10128 et 25 ; ports UDP 3181, 10128 et 25 \\<nom_serveur>\BMC Software\Patrol 3-4\Best1\6.5.00\bgs\bin\Best1CollectGroup.exe Requis pour autoriser les connexions du serveur à l'ordinateur client. Assurez-vous d'avoir partagé le fichier BMC Patrol sur le serveur avant d'essayer de déplacer le chemin de l'exception par défaut sur le client.
eTrust 6.0.100 Computer Associates Ports Partage de fichiers et d'imprimantes, requête d'écho ICMP et port TCP 42510 Consultez la documentation Requis pour installer à distance sur le Service Pack 2 Windows XP
NetShield 4.5 McAfee Security Consultez la documentation Partage de fichiers et d'imprimantes Requis pour se connecter à distance à un client exécutant le Service Pack 2 Windows XP
Computer Associates eTrust 7.0 Computer Associates Ajoutez les ports Partage de fichiers et d'imprimantes et la requête d'écho ICMP Consultez la documentation Requis pour qu'un serveur Windows Server 2003 eTrust 7.0 puisse tester à distance une ouverture de session sur un client exécutant le Service Pack 2 Windows XP
Computer Associates eTrust 7.0 Requis pour qu'un serveur Windows Server 2003 eTrust 7.0 puisse installer à distance le logiciel eTrust client sur des ordinateurs exécutant le Service Pack 2 Windows XP. Problème résolu en attribuant 0 à la valeur DWORD suivante et en redémarrant : HLM\SOFTWARE\Policies\
Microsoft\Windows NT\RPC\RestrictRemoteClients

Références :

http://www.microsoft.com/downloads/de[...]5-9E368D3CDB5A
http://support.microsoft.com/default.aspx?kbid=884130
http://support.microsoft.com/default.aspx?kbid=842242
http://support.microsoft.com/default.aspx?kbid=875357
http://support.microsoft.com/default.aspx?kbid=875351

ChangeLog :

15 Août 2004 (21h10) - Version initiale
15 Août 2004 (18h52) - XP SP2 disponible en version française (installation réseau).
18 Août 2004 (15h29) - Résumé des commentaires post installation.
22 Août 2004 (17h22) - K-OTik Security suspend sa recommandation de retarder l'installation de XP SP2




Le problème c'est lorsqu'il y en a un, 
le résoudre en est un autre.