Windows XP jetzt endlich sicher?
Windows XP Service-Pack 2

In Zukunft sicher

Windows XP jetzt endlich sicher?

Spätestens seit den Wurm-Attacken durch Mydoom, Blaster und Sasser wissen Windows-Nutzer, dass ihr Betriebssystem alles andere als sicher ist.

Und auch Microsoft hat die Zeichen der Zeit erkannt und die hauseigenen Programmierer teilweise von der Longhorn-Entwicklung in die Service-Pack-Abteilung verfrachtet. Das Ergebnis: Zumindest für Windows XP ein lang erwartetes und umfangreiches Sicherheits-Update mit vielen neuen Funktionen ? das Service-Pack 2.

Windows-Update spart Zeit

Windows XP jetzt endlich sicher?

Die deutsche Komplett-Version des SP 2 umfasst rund 265 MByte und trägt die Build-Nummer 2180. Darin sind sämtliche wichtigen Updates für XP enthalten, die Microsoft in petto hat. Die Folge: Das SP 2 aktualisiert alle Windows-XP-Versionen, von der nackten Originalausgabe bis zum vollständig gepatchten System und egal, ob Home, Professional, Tablet PC oder Media Center Edition.

Speziell für gut gepflegte Installationen empfiehlt sich jedoch der Weg über das Windows-Update, denn so werden bereits aufgespielte Patches erkannt und nur noch die tatsächlichen Neuheiten des SP 2 übertragen. Der Umfang des Updates schrumpft so im günstigsten Fall auf etwa 100 MByte.

Wer den Download gänzlich scheut, kann sich auch bei Microsoft gegen eine geringe Versandgebühr eine CD zuschicken lassen. Der Nachteil: Microsoft lässt sich für die Lieferung bis zu sechs Wochen Zeit. Schneller ist das Sonderheft von PC Professionell, das neben Artikeln über die Neuheiten auch eine Heft-CD mit dem kompletten SP 2 enthält.

Security Center als XP-Dienst

Windows XP jetzt endlich sicher?

Die neue Sicherheitszentrale läuft als Windows-Dienst ? der auch in der deutschen Version »Security Center« heißt ? und verwaltet Firewall, Update-Einstellungen und Virenscanner.

Bereits die Zusammenfassung dieser drei Komponenten schafft Übersicht, bisher waren die Einstellungsmöglichkeiten in den Tiefen von Windows versteckt. Ein kleines rotes Icon in Form eines Schildes signalisiert in der Taskleiste, dass Windows mit den Sicherheitseinstellungen nicht einverstanden ist. Sind jedoch Firewall, Updates und Virenscanner aktiviert und auf dem aktuellen Stand, verschwindet das Icon. Wer jetzt noch Einstellungen ändern will, muss den Umweg über die Systemsteuerung gehen und dort den neuen Eintrag Sicherheitscenter wählen.

Neu ist auch Microsofts Ansatz, Sicherheitsfunktionen automatisch zu aktivieren und unnötige Dienste dagegen abzuschalten: So ist die Firewall für alle Netzwerk-Verbindungen von vornherein eingeschaltet, der Nachrichtendienst, der oftmals von Spammern missbraucht wird, aber ausgeschaltet. Auch der Warndienst ? in Windows XP für administrative Alarme zuständig ? ist deaktiviert. Wer diese XP-Dienste in einem Netzwerk nutzen will, muss sie explizit erst wieder einschalten.

Neue Windows Firewall

Windows XP jetzt endlich sicher?

Die alte Internet Connection Firewall musste der neuen Windows Firewall weichen. Nach Installation des SP 2 ist sie automatisch eingeschaltet, egal ob bereits eine andere Desktop-Firewall auf dem Rechner läuft oder nicht.

Nach wie vor liefert Microsoft nur die einfachste Form einer Firewall, die alle Anfragen von außen abweist, die nicht explizit angefordert wurden. Einzige Ausnahme: Programme und Dienste, die Ports öffnen müssen, um zu funktionieren ? etwa Messaging-Clients ?, können vom Benutzer erlaubt werden.

Neu ist, dass die Windows Firewall auf Programmebene gesteuert werden kann: Will ein Programm einen Port öffnen, um auf Anfragen reagieren zu können, fragt Windows beim ersten Start des Programms nach, ob der Benutzer das erlauben will. Detailliertes Wissen über Protokolle und Ports ist dafür nicht nötig.

Boot-Lücke beseitigt

Windows XP jetzt endlich sicher?

Bei eingeschalteter Desktop-Firewall war es bisher ein Problem, dass das Netzwerk beim Booten vor dem Firewall-Dienst initialisiert wurde. Angreifer konnten diese kritische Zeitlücke ausnutzen.

Auch hier bietet das SP 2 mehr Sicherheit: Der Firewall-Treiber selbst kennt bereits grundlegende Security-Richtlinien und kann etwa mit einem DHCP-Server kommunizieren. Ist der Firewall-Dienst gestartet, überschreibt er die Einstellungen des Treibers. Sicherer Nebeneffekt: Kann der Dienst nicht starten, bleiben die Treiber-Richtlinien gültig und blocken eingehende Anfragen.

Ein nützliches Mittel gegen komplette Port-Öffnung ist die Zugriffsbeschränkung auf Subnetz-Ebene. Der Benutzer kann über die erweiterten Einstellungen Zugriffe auf das eigene Subnetz einschränken ? etwa für die Datei- und Druckerfreigabe. Wird sie aktiviert, sind die UDP-Ports 137 und 138 und die TCP-Ports 139 und 445 nur aus dem gleichen Teilnetz erreichbar, Fernzugriffe sind verboten.

Wer sich komplett abschotten will, für den bietet die Firewall die Option Keine Ausnahmen zulassen. Dahinter verbirgt sich schlicht die Möglichkeit, alle geöffneten Horch-Verbindungen per Mausklick zu verbieten.

API für Virenscanner

Windows XP jetzt endlich sicher?

Mit dem SP 2 liefert Microsoft zwar keinen eigenen Virenscanner mit, dafür hat Windows XP eine einheitliche Schnittstelle für Virenwächter von Drittanbietern eingearbeitet. Die Folge: Das Sicherheitscenter erkennt installierte Schädlingsbekämpfer, die diese API nutzen. Auch den Internet Explorer bohrt Microsoft mit dem SP 2 auf. Der Browser unterdrückt Pop-up-Fenster, zeigt bei Downloads Infos zum Urheber an, warnt vor ausführbaren Dateien und geht sensibler mit den gefährlichen ActiveX-Komponenten um.

Die wichtigen Neuheiten verstecken sich aber tief im Zonenmodell: Dateien basierend auf dem Inhalt und nicht der Dateierweiterung öffnen ist eine der neuen Möglichkeiten. Dabei liest der Browser bei Downloads Typ-Informationen der Files aus und vertraut nicht blind der Endung ? so sollen getarnte Viren entlarvt werden.

Neu ist auch die Option Websites können neue Fenster in einer weniger eingeschränkten Webinhaltszone öffnen. Damit will Microsoft dem Problem begegnen, dass speziell präparierte Webseiten sich die Rechte einer weniger restriktiven Zone erschleichen und unbemerkt ActiveX-Controls installieren. Kurz vor Redaktionsschluss tauchte aber bereits eine Webseite auf, die genau diese Funktion umgeht und die Sicherheitszone wechselt.

Einfacher lassen sich Add-ons verwalten: Unter Extras ist dafür ein grafischer Helfer untergebracht, der alle Zusatz-Komponenten anzeigt und sie per Mausklick ein- und ausschaltet. Eine neue Leiste unterhalb der Adresszeile weist im Browser auf Schwierigkeiten von Webseiten hin. Ein Klick per rechter Maustaste reicht aus, um die Surf-Optionen anzupassen.

Die Sicherheitsfunktionen bestimmen zwar das Bild des SP 2, Microsoft hat aber noch ein paar Zusatz-Funktionen eingebaut, die vor allem mehr Komfort bringen sollen: Mit dem SP 2 gibt es unter XP eigene Assistenten zum Einrichten von WLAN- und Bluetooth-Verbindungen

Verzweifelt gesucht

Windows XP jetzt endlich sicher?

Das SP 2 ist ein Muss für jeden, der Windows XP einsetzt. Microsofts Bemühungen, Windows XP in puncto Sicherheit zu optimieren, tragen erste Früchte. Das Sicherheitscenter, die neue Firewall und die eingebauten Speicherschutz-Mechanismen gefallen.

Allzu sicher sollten Sie sich aber auch mit dem SP 2 nicht fühlen, denn die neuen Sicherheitsfunktionen lassen sich allesamt aushebeln. So könnte ein Schadprogramm das Sicherheitscenter unbemerkt beenden oder sich als Virenscanner tarnen, den die Zentrale als solchen erkennt, wenn er die einheitliche Schnittstelle benutzt.

Die Firewall spielt ihre Stärken vor allem bei Nutzern aus, die sich nicht viel um Sicherheit kümmern. Ihre Vorteile: Sie ist von Anfang an eingeschaltet und blockt Angriffe von außen zuverlässig. Ausgehenden Verbindungen guckt die Firewall nicht auf die Finger, den Inhalt von IP-Paketen analysiert sie nicht. Auch Checksummen für Dateien gehören nicht zum Funktionsumfang.

Die Updates für Internet Explorer und Outlook Express gefallen, speziell aber beim kleinen Outlook fehlt der eingebaute Spamblocker. Schlecht ist auch, dass Microsoft die oft geforderte Trennung von Administratoren und normalen Nutzern auch mit dem Service-Pack 2 nicht grundlegender im System verankert hat