Als Erstes bringt das SP2 für Anwender eine nicht so angenehme Überraschung mit sich: Der Download umfasst über 250 MByte. Das ist deutlich mehr, als man von einem "Update" erwarten würde, doch der Umfang hat durchaus seine Berechtigung. Primär handelt es sich beim Service Pack 2 nämlich um eine rundum erneuerte Version von Windows XP, die auf Sicherheitsaspekte hin entwickelt wurde.
Dabei bleibt der Großteil der Funktionalität unverändert, allerdings wurde das ganze Windows mit einer neuen Sicherheitsoption des C++-Compilers von Microsoft neu übersetzt - und das führt ganz unweigerlich dazu, dass alle ausführbaren Komponenten von Windows in neuen Versionen vorliegen: Damit ist auch der Umfang leichter einzusehen. Außerdem enthält das SP2 noch ein Komplett-Update der Betriebssystem-Software für Tablet-PCs (Webcode: a1063). Auch das macht die Sache nicht gerade kleiner.
Sorgen muss man sich ob der Größe allerdings keine machen: Wer den Download scheut, wird den von Microsoft sicherlich angebotenen CD-Service in Anspruch nehmen können - und auch die verschiedenen Computermagazine werden mit großer Sicherheit eine Zeit lang CDs beigepackt haben, die das Service Pack 2 enthalten.
GUI: kleine Änderung, große Wirkung
Bleibt die Frage: Wie äußert sich die Installation des SP2 beim Anwender?
Zunächst macht sich das Service Pack 2 am stärksten beim Surfen im Web bemerkbar, denn die meisten und auch sichtbaren Sicherheitsänderungen wurden beim Internet Explorer vorgenommen. Auf den ersten Blick erscheint er im SP2 dabei nicht anders als sein Vorgänger, im Betrieb verhält er sich aber deutlich anders. Die erste Neuigkeit macht sich beim Surfen bemerkbar, wenn man auf eine Seite gelangt, die ein Popup-Fenster anzeigen will: Der Internet Explorer aus dem SP2 blockiert diese Popups von Haus aus.
Wurde ein Popup blockiert, zeigt der Internet Explorer eine Dialogbox an, in der er auf diesen Umstand hinweist. Da es nicht sonderlich viel Sinn macht, die Popups von Webseiten dauerhaft durch Informationsfenster des Browsers zu ersetzen, kann man die Anzeige dieses Fensters natürlich abschalten. Das Unterdrücken des Popups wird ohnehin zusätzlich in der Informationsleiste des Browsers angezeigt.
Diese Informationsleiste befindet sich am oberen Rand des Browser-Fensters und erst dort findet sich dann tatsächlich der Hinweis auf das unterdrückte Popup.
Die Informationsleiste: Popups und ActiveX-Controls
Die Informationsleiste erscheint als dünner, gelber Streifen mit einem kurzen Hinweistext: Will man an die Optionen der Informationsleiste gelangen, muss man einfach draufklicken. Es öffnet ein Objektmenü, mit dem man vor allem drei Befehle erreicht:
- Der Erste lässt das Popup temporär zu - was dazu führt, dass das zuvor geblockte Popup angezeigt wird.
- Der Zweite schaltet die momentane Webseite generell für Popups frei.
- Mit dem Dritten gelangt man zu einer Dialogbox, mit der man den Popup-Blocker konfigurieren kann. Diesen Dialog kann man auch direkt über das Menü des Internet Explorers erreichen. Dazu benutzt man den Befehl "Popupblockereinstellungen" aus dem Menü "Popupblocker" unter "Extras".
Der Dialog zur Konfiguration des Popup-Blockers teilt sich in zwei Bereiche: Der obere dient der Verwaltung von Websites, für die der Blocker ausgeschaltet werden soll, der untere enthält Optionen für die Stärke der Blockierung und die Art und Weise der Benachrichtigung.
Im oberen Bereich finden Sie neben einer anfänglich leeren Liste auch ein Textfeld. Dort können Sie die URLs von Webseiten eingeben, denen Sie Popups erlauben wollen. Über Klick auf "Hinzufügen" wird diese Webseite in die Liste eingetragen: In Zukunft darf diese Site Popups ohne weitere Rückfragen anzeigen. Das ist in einigen Fällen notwendig - zum Beispiel wenn eine Ihrer Lieblingsseiten Popups für die Navigation oder ähnliche Zwecke verwendet.
Mit Optionen im unteren Bereich des Dialogs können Sie einstellen, ob der IE einen Ton abspielen soll, wenn ein Popup blockiert wurde, und ob die Informationsleiste in einem solchen Fall erscheinen soll. Interessanter ist dabei aber die Filterungsstufe, die Sie ebenfalls einstellen können. Dabei existieren drei dieser Stufen: hoch, mittel und niedrig. Die niedrige Stufe ist weniger bedeutsam - dabei werden Popups von bestimmten Sites von Haus aus zugelassen. Die mittlere Stufe ist per default nach der Installation des SP2 aktiviert - und ein paar Tests machen schnell klar, dass damit praktisch die meisten unerwünschten Popups gesperrt werden.
Man kann aber die Filterschraube weiter anziehen und die Einstellung "Hoch" wählen: Das wird aber nur in sehr wenigen Fällen wirklich sinnvoll sein, denn in dieser Einstellung werden auch solche Popup-Fenster gesperrt, die in Folge Ihrer eigenen Aktionen geöffnet werden. Dazu zählt zum Beispiel auch das "Login"-Fenster einer Webseite, das geöffnet wird, nachdem Sie auf den zugehörigen Link geklickt haben.
ActiveX - eher ausgeschaltet
Die Informationsleiste kommt noch bei einer zweiten Software-Gattung zum Zuge: ActiveX-Controls. Diese sind von Haus aus bereits durch die Default-Einstellungen nur noch in stark eingeschränktem Umfang erlaubt - wenn aber einmal ein "erlaubtes" ActiveX auf einer Website untergebracht ist, erscheint erneut ein Hinweis in der Informationsleiste, mit dessen Hilfe Sie das Kontrollelement dann zulassen können.
Dabei werden ActiveX-Elemente als Browser-Erweiterungen angesehen und diese erhalten ein eigenes Benutzer-Interface. Bisher war es praktisch nicht möglich herauszufinden, welche Erweiterungen vom Internet Explorer verwendet werden, beziehungsweise welche Erweiterungen überhaupt installiert sind. Mit viel forschendem Geschick und Geduld bei der Inspektion der Registry konnte man diese Information dem System zwar entnehmen - aber unerfahrene Anwender waren dazu definitiv nicht in der Lage.
Diese Situation ändert sich mit dem IE aus dem SP2 deutlich. Hier finden Sie nämlich nun im Menü "Extras" den Befehl "Add-ons verwalten". Mit diesem öffnen Sie eine Dialogbox für eine Reihe interessanter Aktionen - ein Teil davon ist allerdings nur mit administrativen Rechten auf dem System möglich.
Erstmals möglich: Add-ons verwalten
Mit der Dialogbox "Add-ons" erhalten Sie Einblick darin, welche Add-ons für den IE auf Ihrem System installiert sind - und welche der Browser momentan verwendet. Zwischen diesen beiden Listen können Sie umschalten, indem Sie die jeweils zugehörige Option aus der Options-Liste "Anzeigen" aktivieren. Darunter finden Sie dann eine Liste der passenden Objekte, die Sie auch nach den verschiedenen zu den Objekten gehörigen Informationen sortieren können. Zu diesen Informationen gehört auch der Name der Datei, in der sich der zum Objekt gehörige Code befindet. Allerdings: Zwar kann man nun herausfinden, welche Add-ons geladen sind und wie die zugehörige DLL heißt - nur den Speicherort erfährt man nicht. Aber der Schein trügt, denn auch der Pfad zur Datei ist dem Dialog zu entlocken: Wenn Sie mit der rechten Maustaste auf die Spaltenüberschriften in der Objektliste klicken, können Sie die anzuzeigenden Spalten auswählen, und eine der Optionen enthält den Pfad zum Ordner, in dem die zum Objekt gehörende DLL vorliegt.
Wählen Sie in der Liste der Objekte eines davon an, können Sie dieses Objekt mit den Optionen am unteren Rand des Dialogs auch deaktivieren: Ist ein Objekt einmal deaktiviert, wird es im Explorer nicht länger ausgeführt - und kann auch keinen Schaden mehr anrichten.
Aufgepasst bei "alten" Installationen
Wenn Sie eigentlich Popups auf Blockieren eingestellt haben, von Zeit zu Zeit aber dennoch Popups öffnen, dann hat sich in Ihr System ein Werbe-Add-on eingenistet. In diesem Fall sollten Sie den Dialog zur Verwaltung der Add-ons besuchen: Schaffen Sie einfach Ordnung, indem Sie einmal alle Add-ons deaktivieren und dann je nach Bedarf - also wenn Sie feststellen, dass eine von Ihnen besuchte Webseite nicht mehr richtig angezeigt wird - die Add-ons wieder Stück für Stück reaktivieren.
Um "böse" Add-ons von Werbefirmen aufzutreiben, reicht vermutlich ein Blick auf den "Herausgeber" des Add-ons: Ist der Name des Add-ons unverständlich und kein Herausgeber angegeben, so handelt es sich um ein eher zweifelhaftes Objekt, das Sie sicherlich erst mal abschalten sollten. Einfacher ist es natürlich, wenn Sie das SP2 auf eine "frische" XP-Installation aufspielen: In diesem Fall können keine unerwünschten und nicht zum System gehörigen Add-ons vorliegen, und die Schutzmechanismen des SP2 sollten dafür sorgen, dass sich auch keine einschmuggeln.
Die neue Windows-Firewall
Die neue Windows-Firewall ist ebenfalls eine deutlich sichtbare Komponente des Service Pack 2 - und das in erster Linie, weil die neue Firewall von Haus aus aktiviert ist, und zwar für alle Netzwerkverbindungen. Bei den bisherigen Versionen von Windows XP musste die Firewall erst manuell eingeschaltet werden: Diese Änderung führt natürlich dazu, dass einige netzwerkbasierte Anwendungen nach der Installation des SP2 unter Umständen nicht sofort funktionieren.
Dabei ist es so geregelt, dass die Firewall eingehende Netzwerkverbindungen blockiert, sofern diese nicht ausdrücklich erlaubt sind. Damit kann man Verbindungen zu bestimmten Programmen und auch Verbindungen zu bestimmten Ports auf dem Rechner ausdrücklich zulassen - alles, was nicht zugelassen ist, wird blockiert. Die Firewall verfügt dabei über einen Satz globaler Einstellungen, der für alle Verbindungen gilt, wobei Sie diese Einstellungen verbindungsweise abändern können. Die Firewall ist aber nicht nur von Haus aus eingeschaltet, sondern auch viel leichter zu finden als bei den Vorgängerversionen von XP, denn Sie hat ein eigenes Icon in der Systemsteuerung erhalten. Über dieses öffnen Sie den Dialog zur Konfiguration der Firewall mit seinen drei Reitern.
Auf dem Reiter "Allgemein" stellen Sie einfach nur ein, ob die Firewall aktiviert sein soll oder nicht. Ist sie aktiv, so können Sie außerdem noch festlegen, ob die Firewall Ausnahmen beim Blockieren von Verbindungsversuchen machen soll oder nicht. Diese Ausnahmen legen Sie auf dem Reiter "Ausnahmen" fest. Hier geben Sie einzelne Programme oder Ports für Verbindungen frei. Die Freigabe ist relativ flexibel - so können Sie Verbindungen zum Beispiel nur von Ihrem lokalen Netzwerk aus zulassen, Verbindungen aus dem Internet hingegen blockieren. Das ist dann ganz praktisch, wenn Sie eine netzwerkbasierte Anwendung nutzen, die nur für den LAN-Betrieb, nicht aber fürs Internet genutzt werden soll.
Mit dem Reiter "Erweitert" konfigurieren Sie die Firewall-Einstellungen - um genau zu sein die Ausnahmen - für Ihre einzelnen Netzwerkverbindungen. Dort können Sie auch die Protokolle der Firewall sowie das Verhalten für ICMP einstellen oder aber die Firewall auf die Default-Einstellungen zurücksetzen.
Verbindungsaufnahme von außen
Öffnet ein Programm auf Ihrem Rechner einen Port, mit dem sich dann Programme von außen verbinden können, so warnt die Firewall von Haus aus. Im Rahmen dieser Warnung können Sie dem Programm dann diese Freiheit bieten, oder aber Sie unterbinden die Verbindungsaufnahme mit diesem Programm. Sofern Sie die Verbindung zulassen, erscheint das Programm dann in der Liste der Ausnahmen innerhalb des Dialogs zur Konfiguration der Firewall.
Um die Firewall zu konfigurieren, benötigen Sie allerdings administrative Rechte: Bei Bedarf ist es notwendig, sich mit einem administrativen Account anzumelden, um Änderungen vorzunehmen.
Überflüssig: das Sicherheitscenter
Genauso neu und ebenfalls mit eigenen Icon in der Systemsteuerung, aber funktional eher dürftig ausgestattet ist das "Sicherheitscenter". Dabei handelt es sich um ein Fenster, in dem die sicherheitsrelevanten Programme auf dem System zusammengefasst sind. Dort finden sich Icons für die Internet-Optionen, die Windows-Firewall und das Windows-Update. Außerdem sollen Antiviren-Programme, die mit dem Sicherheitscenter zusammenarbeiten, hier ein Icon einspielen können.
Wirklich ausrichten kann man im Sicherheitscenter nichts: Das Programm ist tatsächlich nur eine Ansammlung von Icons in einem eigenen Fenster. Da man die Programme, die über diese Icons erreichbar sind, auch direkt und mithilfe der gleichen Icons aus der Systemsteuerung heraus starten kann - genau wie das Sicherheitscenter selbst -, scheint es sich bei diesem "Zentrum" eher um einen Marketing-Mechanismus zu handeln: Konkret hilfreiche Funktionalität bietet das Programm jedenfalls nicht.
Schutz vor Angriffen: Datenausführung verhindern
Interessant - wenn auch für die meisten Anwender momentan noch nicht nutzbar - ist die "Datenausführungsverhinderung". Dabei handelt es sich um einen Dialog, den Sie über die Eigenschaften des Systems unter dem Reiter "Erweitert" bei der "Systemleistung" finden.
Die "Datenausführungsverhinderung" können derzeit nur AMDs 64-Bit CPUs nutzen, Intel wird aber in Kürze mit einer 64-Bit-Erweiterung für den Xeon und den Pentium 4 nachziehen. Diese CPUs haben die Möglichkeit, bestimmte Bereiche im Speicher als "No Execute" (NX) zu markieren. Aus diesen Bereichen heraus darf kein Code ausgeführt werden. Die Idee ist die, dass man reine Datenbereiche im Speicher als solche markiert - was verhindert, dass Angreifer Pufferüberläufe (Webcode: a1380) nutzen können, um Viren oder anderen bösartigen Code ins System zu schmuggeln und auszuführen: Das ist die derzeit häufigste Variante, die für das Einbrechen in Rechner verwendet wird.
Es handelt sich jedoch um eine Fähigkeit, die zumindest momentan nur auf neuen 64-Bit-CPUs zur Verfügung steht - und so sind alle Optionen der "Datenausführungsverhinderung" auf 32-Bit-Systemen auch abgeschaltet.
Wenn Sie im Internet surfen und eine ausführbare Datei von einem Webserver anfordern, erhalten Sie beim SP2 eine neue Warnung: Sie können sich dann entscheiden, ob Sie die Datei herunterladen oder ausführen wollen (dann wird sie zunächst automatisch heruntergeladen) oder ob Sie den Vorgang abbrechen möchten.
Das unterscheidet sich nicht so sehr von den Warnungen, die Sie beim Herunterladen von Dateien schon kennen - die neue Warnung ist zwar etwas anders formatiert, erfüllt aber den gleichen Zweck.
Wenn Sie die Datei allerdings einfach nur auf Ihrer Festplatte speichern und nicht sofort ausführen, dann kommt eine neue Warnung ins Spiel - allerdings nur, wenn Sie das NTFS-Dateisystem verwenden.
Die Fortsetzung dieses Artikels lesen Sie nächste Woche in der ComputerPartner-Ausgabe 35/04.
tecchannel-Compact "ITechnologie-Ratgeber 2004"
tecChannel.de ist die Nummer eins der Online-Fachmedien in Deutschland (IVW 1/04). Auf www.tecChannel.de finden Sie mehr als 1.700 Beiträge und über 14.000 News zu allen Themen der IT. Das kostenlose Online-Programm wird ergänzt durch das noch umfangreichere kostenpflichtige tecCHANNEL-Premium- und die tecCHANNEL-Compact-Buchreihe.
Im neuen tecCHANNEL-Compact "ITechnologie-Ratgeber 2004" finden professionelle Anwender auf über 220 Seiten Grundlagen, Know-how-, Ratgeber- und Praxisbeiträge.
Insbesondere im Server-, Desktop- und Mobile-Bereich steht ein Generationswechsel bevor. Die Einführung von PCI Express und neuen CPUs, wie Pentium 4 "Prescott" und Pentium M "Centrino", 64-Bit-Computing, sowie der DDR2-Speichertechnologie und Serial Attached SCSI verunsichert die IT-Branche. Die tecCHANNEL-Redaktion beantwortet die Fragen, welche Technologien zukunftssicher sind und die bevorstehenden Investitionen schützen und was beim Umstieg zu beachten ist.
Die Ausgabe ist ab sofort im Handel zu haben oder direkt im Online-Shop unter
www.tecChannel.de/shop für 9,90 Euro (gegen Rechnung) inklusive Versandkosten zu bestellen.
Glossar
ActiveX-Controls
Software-Modul, das auf der Microsoft Component Objekt Model Architektur basiert. Über ActiveX-Controls lassen sich bestehende Software-Komponenten von einem Server abrufen und im Webbrowser wie ein normales Programm anwenden.
DLL
Dynamic Link Library. In einer DLL lassen sich Routinen zusammenfassen, die von mehreren Programmen benötigt werden. Das spart Platz, weil die Routine nur einmal vorhanden ist und nicht in jedem Programm. Zudem wird die Versions-Verwaltung vereinfacht, weil bei Fehlern nur eine DLL ausgetauscht werden muss, statt aller Programme, die die fehlerhafte Routine verwenden.
Ports
Ein TCP-Port dient als Kommunikationskanal für den Zugriff auf einen Internetrechner über das TCP/IP-Protokoll, ähnlich den Nebenstellen eines Telefonanschlusses. Jedes TCP/IP-Programm verwendet einen TCP-Port für die Kommunikation mit anderen Rechnern.
ICMP
Internet Control Message Protocol. TCP/IP-Protokoll, über das Fehler- und Statusmeldungen ausgetauscht werden.
NTFS
NT-Filesystem. In Windows NT implementiertes Dateisystem, das unter NT 3 und 4 auch Partitionen und Dateien über 4 Gigabyte ermöglicht. Windows 2000 besitzt dafür auch das FAT32-Filesystem. NTFS ermöglicht erweiterte Zugriffsrechte und bietet eine erhöhte Sicherheit.
HTML
HyperText Markup Language. Diese Seitenbeschreibungssprache ist Grundlage jeder Webseite. Der HTML-Standard wird vom W3C verwaltet.
WLAN
Wireless LAN. Drahtloses lokales Netz (Funk- oder Infrarotbasis).
WEP
WEP, Wireless Equivalent Privacy. Bezeichnung für Verschlüsselungsverfahren auf RC4-Basis, die von auf dem Standard IEEE 802.11 basierenden Funknetzen genutzt werden.
WPA
Wi-Fi Protected Access. Ein Subset des künftigen Sicherheitsstandards 802.11i. Umfasst mit TKIP (Temporal Key Integrity Protocol) und AES (Enhanced Encryption Specification) eine im Vergleich zu WEP wesentlich stärkere Verschlüsselung sowie mit 802.1x erstmals auch ein sicheres Authentifizierungsschema.