Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

30.07.2004 - 

Microsoft bringt Service Pack 2 im August

XP-Update kann zu Anwendungskonflikten führen

"Windows XP SP2 erscheint im August", legt sich Microsoft fest, nachdem das Sicherheits-Update mehrmals verschoben wurde. Anwender des Betriebssystems erhalten das Service Pack kostenlos. Bezogen werden kann es entweder als CD-ROM oder über eine Download-Seite auf der Microsoft-Site.

Einerseits soll das Service Pack 2 den Systembetrieb sichern, andererseits kann es jedoch zu Schwierigkeiten führen. So laufen möglicherweise installierte Programme nicht zuverlässig. Zwar wurden laut Microsoft eine Vielzahl von Applikationen getestet und Fehler bereinigt, neben einigen Computerspielen und verbreiteten Standardpaketen für PCs war auch der SAP-Client "Sapgui" darunter. Trotz der Testläufe übernimmt der Hersteller aber keine Garantie für einen reibungslosen Betrieb aller Softwareprodukte, schon gar nicht für Programme, die Anwender selbst geschrieben hatten. Damit sehen sich allerdings auch solche Firmen konfrontiert, die kommerzielle Sicherheitsprodukte installieren. Zumindest liefert Microsoft Anleitungen, die Administratoren beim Anpassen der Software helfen.

Zu den wichtigsten Elementen des Pakets gehören:

- eine erweiterte "Windows Firewall",

- ein Popup-Blocker,

- ein Steuerelement für Sicherheitseinstellungen ("Sicherheits-Center") sowie

- Schutz vor Speicherüberläufen (Buffer Overflows).

Ports dynamisch zuweisen

Die integrierte Firewall sichert den Desktop ab, in dem sie Kommunikationsschnittstellen ("Ports") nur den vom Anwender oder Administrator benannten Applikationen und Diensten öffnet. Diese Ports bleiben nur über die Dauer der Nutzung der betreffenden Software geöffnet. Sie werden danach wieder geschlossen. Zudem sperrt die Komponente standardmäßig alle eingehenden Verbindungen. Bereits beim Systemstart ist die Desktop-Firewall aktiv und bleibt es auch, falls sie der Benutzer nicht explizit deaktiviert. Ebenso verhält es sich mit dem Virenschutz. Hier liefert Microsoft jedoch keine eigene Lösung mit, sondern integriert die Antivirenwerkzeuge namhafter Hersteller. Die Integration umfasst zum Beispiel ein Warnsystem, das den PC-Anwender auffordert, neue Virensignaturen von der Website des Antivirenspezialisten zu laden.

Da manche Anwender ihr System bereits mit einer Desktop-Firewall ausgestattet haben, kann es unter Umständen zu Konflikten kommen, wenn die Windows Firewall parallel betrieben wird. In diesem Fall ist es laut Microsoft ratsam, sich für ein Schutzsystem zu entscheiden und das andere abzuschalten. Unverständlicherweise lässt sich das Microsoft-Programm zwar deaktivieren, aber nicht deinstallieren.

Das Service Pack 2 nutzt einen neuen Update-Service von Microsoft, der zeitgleich mit dem Paket freigegeben werden soll. Über das "Windows Update" können Nutzer automatisch Patches von Microsoft-Servern herunterladen und lokal installieren lassen. Nach den Worten des Herstellers sorgt eine erweiterte Transferroutine für eine optimale Bandbreitenausnutzung, so dass auch Heimanwender mit Modemanschluss in vertretbarer Zeit Fehlerbereinigungen laden können.

Ein verschärftes Zonenkonzept soll das Surfen im Internet sicherer machen. So lassen sich beispielsweise ausführbare Komponenten wie Active X Controls beziehungsweise Active Scripts nur in der Sicherheitszone "Lokales Intranet" und "Vertrauenswürdige Sites" ausführen. Nicht mehr möglich ist dies in der Zone "Lokale Maschine". Ein "Attachment Execution Service" soll in der Lage sein, Anhänge von E-Mails oder über Instant Messaging übertragene Dateien auf Gefahren zu überprüfen. Dies gilt insbesondere für ausführbaren Code. Die Schutzroutine erkennt Dateitypen auch dann zuverlässig, wenn sie unter einer anderen Dateiendung abgespeichert wurden. Auch Wireless-LAN-Anwender profitieren vom XP-Update: Microsoft hat eine Implementierung des Sicherheitsmechanismus "Wifi Protected Access" (WPA) beigelegt.

Speicherüberläufe eindämmen

Ein bei anderen Browsern seit langem verfügbarer Popup-Blocker sperrt nicht nur Werbebotschaften aus, sondern verhindert dabei auch, dass dem Anwender Würmer oder andere Störroutinen unbemerkt untergeschoben werden. Es bleibt dem Nutzer überlassen, bestimmte Popups zu akzeptieren.

Da viele Sicherheitslöcher in Windows auf Speicherüberläufe zurückzuführen sind, haben die Redmonder auch hier angesetzt. So seien in kritischen Komponenten des Betriebssystems für Buffer Overflows anfällige Codefragmente neu geschrieben worden. Zudem nutzt das Service Pack 2 ein Feature ("No Execution") von Prozessoren aus, die Anwendungen einen Zugriff nur auf dafür markierte Speicherstellen erlauben. Allerdings funktioniert dies derzeit nur mit der 64-Bit-CPU "Opteron" von AMD beziehungsweis die demnächst erscheinende 64-Bit-Variante des "Xeon DP" von Intel.

Werkzeuge für Administratoren

Systemverwalter können die lokalen Firewalls sowie die übrigen Sicherheitsfunktionen des Service Pack 2 zentral einstellen. Das Update enthält hierzu entsprechende Schablonen. Der Administrator kann zudem Gruppenrichtlinien vorgeben und an die entsprechenden Rechner verteilen. Hierzu ist "Windows 2000 Server" oder "Windows Server 2003" erforderlich.

Zu den zahlreichen Testern des SP2 zählt Rainer Sollinger, IT-Leiter bei der Feuerwehr der Technischen Universität München. Laut Sollinger konnte nach der Installation des Pakets eine Java-Software auf den Desktops zunächst keine Verbindung zu den Datenbank-Servern aufbauen, da die Firewall alle Verbindungen sperrte, was auch so gewollt ist. Da jedoch Java-Programme keine feste Port-Zuordnung aufweisen, gelang es dem IT-Spezialisten auch nicht, über die Freigabe einzelner Ports den Zugriff zu ermöglichen. Dies klappte erst über die Ebene der "Applikationsfreigabe". Grundsätzlich ist Sollinger mit dem XP-Update zufrieden und wird alle Clients damit ausstatten, sobald die endgültige Version zur Verfügung steht.