Als Erstes bringt das SP2 für Anwender eine nicht so angenehme Überraschung mit sich: Der Download umfasst über 250 MByte. Das ist deutlich mehr, als man von einem "Update" erwarten würde, doch der Umfang hat durchaus seine Berechtigung. Primär handelt es sich beim Service Pack2 nämlich um eine rundum erneuerte Version von Windows XP, die auf Sicherheitsaspekte hin entwickelt wurde.
Dabei bleibt der Großteil der Funktionalität unverändert, allerdings wurde das ganze Windows mit einer neuen Sicherheitsoption des C++-Compilers von Microsoft neu übersetzt - und das führt ganz unweigerlich dazu, dass alle ausführbaren Komponenten von Windows in neuen Versionen vorliegen: Damit ist auch der Umfang leichter einzusehen. Außerdem enthält das SP2 noch ein Komplett-Update der Betriebssystem-Software für Tablet-PCs. Auch das macht die Sache nicht gerade kleiner.
Sorgen muss man sich ob der Größe allerdings keine machen: Wer den Download scheut, wird den von Microsoft sicherlich angebotenen CD-Service in Anspruch nehmen können - und auch die verschiedenen Computermagazine werden mit großer Sicherheit eine Zeit lang CDs beigepackt haben, die das Service Pack 2 enthalten.
GUI: Kleine Änderung, große Wirkung
Bleibt die Frage: Wie äußert sich die Installation des SP2 beim Anwender?
Zunächst macht sich das Service Pack 2 am stärksten beim Surfen im Web bemerkbar, denn die meisten und auch sichtbaren Sicherheitsänderungen wurden beim Internet Explorer vorgenommen. Auf den ersten Blick erscheint er im SP2 dabei nicht anders als sein Vorgänger, im Betrieb verhält er sich aber deutlich anders.
Die erste Neuigkeit macht sich beim Surfen bemerkbar, wenn man auf eine Seite gelangt, die ein Popup-Fenster anzeigen will: Der Internet Explorer aus dem SP2 blockiert diese Popups von Haus aus.
Wurde ein Popup blockiert, zeigt der Internet Explorer eine Dialogbox an, in der er auf diesen Umstand hinweist. Da es nicht sonderlich viel Sinn macht, die Popups von Webseiten dauerhaft durch Informationsfenster des Browsers zu ersetzen, kann man die Anzeige dieses Fensters natürlich abschalten. Das Unterdrücken des Popups wird ohnehin zusätzlich in der Informationsleiste des Browsers angezeigt.
Diese Informationsleiste befindet sich am oberen Rand des Browser-Fensters und erst dort findet sich dann tatsächlich der Hinweis auf das unterdrückte Popup.
Die Informationsleiste: Popups und ActiveX-Controls
Die Informationsleiste erscheint als dünner, gelber Streifen mit einem kurzen Hinweistext: Will man an die Optionen der Informationsleiste gelangen, muss man einfach draufklicken. Es öffnet ein Objektmenü, mit dem man vor allem drei Befehle erreicht:
Der Erste lässt das Popup temporär zu - was dazu führt, dass das zuvor geblockte Popup angezeigt wird.
Der Zweite schaltet die momentane Webseite generell für Popups frei.
Mit dem Dritten gelangt man zu einer Dialogbox, mit der man den Popup-Blocker konfigurieren kann. Diesen Dialog kann man auch direkt über das Menü des Internet Explorers erreichen. Dazu benutzt man den Befehl "Popupblockereinstellungen" aus dem Menü "Popupblocker" unter "Extras".
Der Dialog zur Konfiguration des Popup-Blockers teilt sich in zwei Bereiche: Der obere dient der Verwaltung von Websites, für die der Blocker ausgeschaltet werden soll, der untere enthält Optionen für die Stärke der Blockierung und die Art und Weise der Benachrichtigung.
Im oberen Bereich finden Sie neben einer anfänglich leeren Liste auch ein Textfeld. Dort können Sie die URLs von Webseiten eingeben, denen Sie Popups erlauben wollen. Über Klick auf "Hinzufügen" wird diese Webseite in die Liste eingetragen: In Zukunft darf diese Site Popups ohne weitere Rückfragen anzeigen. Das ist in einigen Fällen notwendig - zum Beispiel wenn eine Ihrer Lieblingsseiten Popups für die Navigation oder ähnliche Zwecke verwendet.
Mit Optionen im unteren Bereich des Dialogs können Sie einstellen, ob der IE einen Ton abspielen soll, wenn ein Popup blockiert wurde, und ob die Informationsleiste in einem solchen Fall erscheinen soll. Interessanter ist dabei aber die Filterungsstufe, die Sie ebenfalls einstellen können. Dabei existieren drei dieser Stufen: hoch, mittel und niedrig. Die niedrige Stufe ist weniger bedeutsam - dabei werden Popups von bestimmten Sites von Haus aus zugelassen. Die mittlere Stufe ist per default nach der Installation des SP2 aktiviert - und ein paar Tests machen schnell klar, dass damit praktisch die meisten unerwünschten Popups gesperrt werden.
Man kann aber die Filterschraube weiter anziehen und die Einstellung "Hoch" wählen: Das wird aber nur in sehr wenigen Fällen wirklich sinnvoll sein, denn in dieser Einstellung werden auch solche Popup-Fenster gesperrt, die in Folge Ihrer eigenen Aktionen geöffnet werden. Dazu zählt zum Beispiel auch das "Login"-Fenster einer Webseite, das geöffnet wird, nachdem Sie auf den zugehörigen Link geklickt haben.
ActiveX - eher ausgeschaltet
Die Informationsleiste kommt noch bei einer zweiten Software-Gattung zum Zuge: ActiveX-Controls. Diese sind von Haus aus bereits durch die Default-Einstellungen nur noch in stark eingeschränktem Umfang erlaubt - wenn aber einmal ein "erlaubtes" ActiveX auf einer Website untergebracht ist, erscheint erneut ein Hinweis in der Informationsleiste, mit dessen Hilfe Sie das Kontrollelement dann zulassen können.
Dabei werden ActiveX-Elemente als Browser-Erweiterungen angesehen und diese erhalten ein eigenes Benutzer-Interface. Bisher war es praktisch nicht möglich herauszufinden, welche Erweiterungen vom Internet Explorer verwendet werden, beziehungsweise welche Erweiterungen überhaupt installiert sind. Mit viel forschendem Geschick und Geduld bei der Inspektion der Registry konnte man diese Information dem System zwar entnehmen - aber unerfahrene Anwender waren dazu definitiv nicht in der Lage.
Diese Situation ändert sich mit dem IE aus dem SP2 deutlich. Hier finden Sie nämlich nun im Menü "Extras" den Befehl "Add-Ons verwalten". Mit diesem öffnen Sie eine Dialogbox für eine Reihe interessanter Aktionen - ein Teil davon ist allerdings nur mit administrativen Rechten auf dem System möglich.
Erstmals möglich: Add-ons verwalten
Mit der Dialogbox "Add-Ons" erhalten Sie Einblick darin, welche Add-ons für den IE auf Ihrem System installiert sind - und welche der Browser momentan verwendet. Zwischen diesen beiden Listen können Sie umschalten, indem Sie die jeweils zugehörige Option aus der Options-Liste "Anzeigen" aktivieren. Darunter finden Sie dann eine Liste der passenden Objekte, die Sie auch nach den verschiedenen zu den Objekten gehörigen Informationen sortieren können.
Sichtbare
Zu diesen Informationen gehört auch der Name der Datei, in der sich der zum Objekt gehörige Code befindet. Allerdings: Zwar kann man nun herausfinden, welche Add-ons geladen sind und wie die zugehörige DLL heißt - nur den Speicherort erfährt man nicht. Aber der Schein trügt, denn auch der Pfad zur Datei ist dem Dialog zu entlocken: Wenn Sie mit der rechten Maustaste auf die Spaltenüberschriften in der Objektliste klicken, können Sie die anzuzeigenden Spalten auswählen und eine der Optionen enthält den Pfad zum Ordner, in dem die zum Objekt gehörende DLL vorliegt.
Wählen Sie in der Liste der Objekte eines davon an, können Sie dieses Objekt mit den Optionen am unteren Rand des Dialogs auch deaktivieren: Ist ein Objekt einmal deaktiviert, wird es im Explorer nicht länger ausgeführt - und kann auch keinen Schaden mehr anrichten.
Aufgepasst bei "alten" Installationen
Wenn Sie eigentlich Popups auf Blockieren eingestellt haben, von Zeit zu Zeit aber dennoch Popups öffnen, dann hat sich in Ihr System ein Werbe-Add-on eingenistet. In diesem Fall sollten Sie den Dialog zur Verwaltung der Add-ons besuchen: Schaffen Sie einfach Ordnung, indem Sie einmal alle Add-ons deaktivieren und dann je nach Bedarf - also wenn Sie feststellen, dass eine von Ihnen besuchte Webseite nicht mehr richtig angezeigt wird - die Add-ons wieder Stück für Stück reaktivieren.
Um "böse" Add-ons von Werbefirmen aufzutreiben, reicht vermutlich ein Blick auf den "Herausgeber" des Add-ons: Ist der Name des Add-ons unverständlich und kein Herausgeber angegeben, so handelt es sich um ein eher zweifelhaftes Objekt, dass Sie sicherlich erst mal abschalten sollten. Einfacher ist es natürlich, wenn Sie das SP2 auf eine "frische" XP-Installation aufspielen: In diesem Fall können keine unerwünschten und nicht zum System gehörigen Add-ons vorliegen und die Schutzmechanismen des SP2 sollten dafür sorgen, dass sich auch keine einschmuggeln.
Die neue Windows-Firewall
Die neue Windows-Firewall ist ebenfalls eine deutlich sichtbare Komponente des Service Pack 2 - und das in erster Linie, weil die neue Firewall von Haus aus aktiviert ist, und zwar für alle Netzwerkverbindungen. Bei den bisherigen Versionen von Windows XP musste die Firewall erst manuell eingeschaltet werden: Diese Änderung führt natürlich dazu, dass einige netzwerkbasierte Anwendungen nach der Installation des SP2 unter Umständen nicht sofort funktionieren.
Dabei ist es so geregelt, dass die Firewall eingehende Netzwerkverbindungen blockiert, sofern diese nicht ausdrücklich erlaubt sind. Damit kann man Verbindungen zu bestimmten Programmen und auch Verbindungen zu bestimmten Ports auf dem Rechner ausdrücklich zulassen - alles, was nicht zugelassen ist, wird blockiert.
Die Firewall verfügt dabei über einen Satz globaler Einstellungen, der für alle Verbindungen gilt, wobei Sie diese Einstellungen verbindungsweise abändern können. Die Firewall ist aber nicht nur von Haus aus eingeschaltet, sondern auch viel leichter zu finden als bei den Vorgängerversionen von XP, denn Sie hat ein eigenes Icon in der Systemsteuerung erhalten. Über dieses öffnen Sie den Dialog zur Konfiguration der Firewall mit seinen drei Reitern.
Firewall konfigurieren
Auf dem Reiter "Allgemein" stellen Sie einfach nur ein, ob die Firewall aktiviert sein soll oder nicht. Ist sie aktiv, so können Sie außerdem noch festlegen, ob die Firewall Ausnahmen beim Blockieren von Verbindungsversuchen machen soll oder nicht. Diese Ausnahmen legen Sie auf dem Reiter "Ausnahmen" fest. Hier geben Sie einzelne Programme oder Ports für Verbindungen frei. Die Freigabe ist relativ flexibel - so können Sie Verbindungen zum Beispiel nur von Ihrem lokalen Netzwerk aus zulassen, Verbindungen aus dem Internet hingegen blockieren. Das ist dann ganz praktisch, wenn Sie eine netzwerkbasierte Anwendung nutzen, die nur für den LAN-Betrieb, nicht aber fürs Internet genutzt werden soll.
Mit dem Reiter "Erweitert" konfigurieren Sie die Firewall-Einstellungen - um genau zu sein die Ausnahmen - für Ihre einzelnen Netzwerkverbindungen. Dort können Sie auch die Protokolle der Firewall sowie das Verhalten für ICMP einstellen oder aber die Firewall auf die Default-Einstellungen zurücksetzen.
Verbindungsaufnahme von außen
Öffnet ein Programm auf Ihrem Rechner einen Port, mit dem sich dann Programme von außen verbinden können, so warnt die Firewall von Haus aus. Im Rahmen dieser Warnung können Sie dem Programm dann diese Freiheit bieten, oder aber Sie unterbinden die Verbindungsaufnahme mit diesem Programm. Sofern Sie die Verbindung zulassen, erscheint das Programm dann in der Liste der Ausnahmen innerhalb des Dialogs zur Konfiguration der Firewall.
Um die Firewall zu konfigurieren, benötigen Sie allerdings administrative Rechte: Bei Bedarf ist es notwendig, sich mit einem administrativen Account anzumelden, um Änderungen vorzunehmen.
Überflüssig: Das Sicherheitscenter
Genauso neu und ebenfalls mit eigenen Icon in der Systemsteuerung, aber funktional eher dürftig ausgestattet ist das "Sicherheitscenter". Dabei handelt es sich um ein Fenster, in dem die sicherheitsrelevanten Programme auf dem System zusammengefasst sind. Dort finden sich Icons für die Internet-Optionen, die Windows-Firewall und das Windows-Update. Außerdem sollen Antiviren-Programme, die mit dem Sicherheitscenter zusammenarbeiten, hier ein Icon einspielen können.
Wirklich ausrichten kann man im Sicherheitscenter nichts: Das Programm ist tatsächlich nur eine Ansammlung von Icons in einem eigenen Fenster. Da man die Programme, die über diese Icons erreichbar sind, auch direkt und mit Hilfe der gleichen Icons aus der Systemsteuerung heraus starten kann - genau wie das Sicherheitscenter selbst -, scheint es sich bei diesem "Zentrum" eher um einen Marketing-Mechanismus zu handeln: Konkret hilfreiche Funktionalität bietet das Programm jedenfalls nicht.
Schutz vor Angriffen: Datenausführung verhindern
Interessant - wenn auch für die meisten Anwender momentan noch nicht nutzbar - ist die "Datenausführungsverhinderung". Dabei handelt es sich um einen Dialog, den Sie über die Eigenschaften des Systems unter dem Reiter "Erweitert" bei der "Systemleistung" finden.
Die "Datenausführungsverhinderung" können derzeit nur AMDs 64-Bit CPUs nutzen, Intel wird aber in Kürze mit einer 64-Bit-Erweiterung für den Xeon und den Pentium 4 nachziehen. Diese CPUs haben die Möglichkeit, bestimmte Bereiche im Speicher als "No Execute" (NX) zu markieren. Aus diesen Bereichen heraus darf kein Code ausgeführt werden. Die Idee ist die, dass man reine Datenbereiche im Speicher als solche markiert - was verhindert, dass Angreifer Pufferüberläufe nutzen können, um Viren oder anderen bösartigen Code ins System zu schmuggeln und auszuführen: Das ist die derzeit häufigste Variante, die für das Einbrechen in Rechner verwendet wird.
Es handelt sich jedoch um eine Fähigkeit, die zumindest momentan nur auf neuen 64-Bit-CPUs zur Verfügung steht - und so sind alle Optionen der "Datenausführungsverhinderung" auf 32-Bit-Systemen auch abgeschaltet.
Sicherer: Neue Warnungen bei Downloads
Wenn Sie im Internet surfen und eine ausführbare Datei von einem Webserver anfordern, erhalten Sie beim SP2 eine neue Warnung: Sie können sich dann entscheiden, ob Sie die Datei herunterladen oder ausführen wollen (dann wird sie zunächst automatisch heruntergeladen) oder ob Sie den Vorgang abbrechen möchten.
Das unterscheidet sich nicht so sehr von den Warnungen, die Sie beim Herunterladen von Dateien schon kennen - die neue Warnung ist zwar etwas anders formatiert, erfüllt aber den gleichen Zweck.
Wenn Sie die Datei allerdings einfach nur auf Ihrer Festplatte speichern und nicht sofort ausführen, dann kommt eine neue Warnung ins Spiel - allerdings nur, wenn Sie das NTFS -Dateisystem verwenden.
SP2 merkt sich Datei-Download
Wenn Sie eine Datei zu einem späteren Zeitpunkt starten wollen, erhalten Sie erneut eine Warnung. Windows merkt sich nämlich, dass eine Datei aus dem Internet heruntergeladen wurde, und macht dann mit eben dieser neuen Warnung darauf aufmerksam. Letzten Endes ist das nur ein weiterer kleiner Schutzwall gegen das irrtümliche Ausführen von gefährlichen Dateien. Dieser Mechanismus kommt aber nicht nur bei direkt heruntergeladenen Dateien zum Zuge, sondern auch bei solchen, die Sie per E-Mail-Attachment erhalten haben. Was auch direkt zur nächsten Veränderung führt: Auch in Outlook Express hat sich etwas getan.
Dort finden Sie bei den Optionen auf dem Reiter "Sicherheit" die bereits bekannte Option "Speichern oder Öffnen von Anlagen, die möglicherweise einen Virus enthalten könnten, nicht zulassen". Die tut genau das, was ihre Beschreibung aussagt: Ist die Option eingeschaltet, können Sie Attachments in Mails zwar noch sehen, aber nicht mehr anklicken. Um genau zu sein: Man kann zwar noch klicken, nur führen die Klicks zu keinem Ergebnis. Diese Option ist von Haus aus eingeschaltet - und das ist der wesentlichen Unterschied zu den Vorgängerversionen von Outlook Express.
Zusätzliche Sicherheit in Outlook Express
Unterhalb der genannten Optionen findet sich aber noch eine weitere, und zwar zum Thema "Bilddownload". Diese schaltet externe Inhalte in E-Mails aus. Das klingt nicht besonders spektakulär, ist aber sehr hilfreich - zumindest dann, wenn Sie HTML-E-Mail annehmen, was Sie eigentlich sowieso nicht tun sollten. Lässt sich das aber nicht vermeiden, so können diese HTML-E-Mails natürlich auch Referenzen auf HTML-Elemente enthalten, die in der Mail gar nicht vorhanden sind und erst aus dem Internet nachgeladen werden.
Genau dieses Feature verwenden aber viele Spammer, um die Gültigkeit von E-Mail-Adressen zu verifizieren: Der Spammer versendet ganz normal seinen Spam an eine riesige Liste von Mail-Adressen, viele davon sind sogar einfach erfundene oder "geratene" Adressen. In den Mails befindet sich HTML-Code mit einer Referenz auf ein externes Objekt. Dieses Objekt wird vom Server des Spammers abgeholt und dabei eine personalisierte Information an diesen Server übertragen. Die Mail ist also in Form dieses "externen" Objekts personalisiert.
Öffnen Sie eine solche HTML-Mail, wird das "personalisierte" Objekt vom Spammer-Server angefordert - und der Spammer weiß dann nicht nur, dass Sie die Mail geöffnet haben, er hat auch eine "gültige" E-Mail-Adresse mehr, die er sicherlich weiterverkaufen wird. Die Option "Bilderdownload" in Outlook Express verhindert das.
Im Zusammenhang mit Outlook Express gibt es noch eine Änderung, die Sie zwar nicht sehen können, die aber trotzdem mehr Sicherheit schafft: Das Anzeige-Fenster für E-Mails verwendet jetzt nicht länger das HTML-Control von Microsoft (das eben auch Scripts ausführen kann und über weit gehende andere Fähigkeiten verfügt, die sich Angreifer zu Nutze machen können), sondern ein Rich-Text-Control, das nur eines noch kann: formatierten ("sicheren") Text anzeigen.
Mehr Zukunft: Windows-Update Version 5
Ebenfalls neu ist Windows-Update, das jetzt in Version 5 vorliegt. Abgesehen von kosmetischen Veränderungen ist bei Windows-Update zunächst nicht viel zu sehen. In Zukunft soll es auch Delta-Patches ausliefern, also nur die Differenz zwischen zwei Dateien anstatt der kompletten Datei, und damit die Größe der Downloads verringern. Außerdem sollen auch andere als nur die Kernkomponenten von Windows über Windows-Update verteilt werden, zum Beispiel auch Updates für Office.
Ist ein Update erst einmal installiert, taucht es in der Liste der "Installierten Software" der Systemsteuerung auf. Dort sammeln sich die Updates dann schnell an und machen die Liste unübersichtlich. Daher gibt es eine neue Option, mit der Sie die Anzeige von Updates bei den installierten Programmen ausblenden können. Von sich aus zeigt SP2 Updates nicht mehr an.
Neues im Netz: WLAN-Einrichtung und Konfiguration
Abgesehen von der Sicherheitsproblematik haben sich auch andere Dinge im XP SP2 verändert -die deutlichste Veränderung finden Sie bei WLANs. Hier hat sich das komplette Benutzerinterface verändert, zum besseren, wie man schnell herausfindet.
Besonders die Einrichtung von WLANs hat Microsoft vereinfacht: Anwender, die ein WLAN-basiertes Heimnetz einrichten möchten, erhalten dafür einen eigenen Assistenten, mit dessen Hilfe die Konfigurationsdaten auch von einem Rechner zum anderen transportiert werden können. Der Assistent geht dabei davon aus, dass ein USB-Memory-Stick als mobiles Austauschmedium vorhanden ist. Darauf legt er die Konfigurationsdaten ab, die der andere Rechner dann übernehmen kann.
Einfache Verbindungsaufnahme ins WLAN
Auch die Verbindungsaufnahme zu einem bestehenden WLAN ist jetzt einiges leichter. Windows zeigt dazu einen sehr übersichtlichen Dialog an, in dem alle gefundenen Netze aufgelistet sind. Um mit einem Netzwerk eine Verbindung einzugehen, braucht man bloß auf das Netzwerk in der Liste zu klicken - und Windows untersucht die Konfiguration dieses WLANs.
Kommt dabei heraus, dass das Netz per WEP geschützt ist, so fordert Windows XP den Benutzer dazu auf, den zugehörigen WEP-Key einzugeben.
Auch der normale Dialog zum Konfigurieren der Eigenschaften des eigenen WLAN hat sich in großem Umfang verändert: Der Dialog ist dadurch übersichtlicher geworden und macht die Einstellung der einzelnen Eigenschaften des Netzes einfacher. Dabei ist auch gleich der Support für WPA in die Konfiguration eingeflossen: Wer bisher ein per WPA geschütztes WLAN mit XP aufbauen wollte, der musste diesen Support in Form eines separaten Downloads erst mal installieren.
Fazit
Mit dem Service Pack 2 bietet Microsoft ein durchweg gelungenes Update für bisherige Nutzer von Windows XP: Die deutlich besseren Sicherheitseinstellungen und Schutzmaßnahmen werden es Angreifern zumindest auf absehbare Zeit schwieriger machen, ins System einzudringen und Lücken auszunutzen.
Bleibt zu hoffen, dass Microsoft die Sicherheitsarbeiten mit dem SP2 nicht an den Nagel hängt, sondern auch in Zukunft daran fortentwickelt und sicherheitsrelevante Aspekte bei neuen Programmen berücksichtigt.
Als nächsten Schritt könnte Microsoft beispielsweise damit beginnen, alle Produkte so umzugestalten, dass diese auch mit einem eingeschränkten Benutzer-Account laufen: Denn gerade Spiele aus dem Hause Microsoft sind oft nur als Administrator nutzbar - und hebeln so einen Großteil der in Windows XP enthaltenen Sicherheitsmechanismen wieder aus. (mha)