XP-Schluckimpfung

Heft-CD: Handreichungen zum Service Pack 2

Praxis & Tipps | Praxis

Nach einigen Verzögerungen ist das Service Pack 2 für Windows XP nicht nur als 270 MByte großer Brocken online zu haben, sondern auch über die Windows-Update-Funktion - auf durchschnittlichen PCs ist es aber immer noch 75 bis 100 MByte schwer und noch dazu nur ein einziges Mal anwendbar. Die „Vollversion“ des Service Pack 2 - auf CD in diesem Heft - bleibt damit die erste Wahl für den Anwender.

Lang erwartet hat Microsoft im August das zweite Service Pack für Windows XP fertig gestellt. Die als Sicherheits-Update gehandelte Fix-Sammlung hat nicht nur einen enormen Umfang erreicht, sondern bringt auch Neuerungen mit, aus denen Microsoft unter anderen Umständen vielleicht ein „Windows XP Zweite Ausgabe“ gemacht hätte. Doch durch die anhaltende Sicherheitsdebatte rund um Windows sahen sich die Redmonder wohl genötigt, die Schluckimpfung allen legalen XP-Nutzern angedeihen zu lassen.

Interessierte Nutzer mit einer schmalbandigen Internet-Leitung mussten sich eine Weile gedulden, bis Microsoft das Update auch ihnen in Form eines Express-Setup bereitgestellt hat. Erst seit Ende August tröpfelt auch für Modem-Besitzer das Service Pack aus der Leitung. Das Windows-Update lud zunächst ein Express-Setup herunter und holte dann stillschweigend auch die übrigen Dateifetzen. Das Ganze geschieht dank Übertragung im Hintergrund (BITS) bei aktiviertem Auto-Update selbstständig, ohne dass der Benutzer etwas tun muss, und zwar immer dann, wenn der PC online und die Leitung nicht ausgelastet ist. Erst nach erfolgreichem vollständigen Download merkt der Benutzer durch eine Rückfrage, dass das Service Pack komplett ist und sich installieren will.

Noch haben längst nicht alle Windows-Nutzer das Auto-Update aktiviert oder sind womöglich noch nicht beliefert worden. Ob Ihr PC schon mit dem Service Pack ausgestattet ist, verrät ein Rechtsklick auf Arbeitsplatz und Auswahl von „Eigenschaften“. Auf der ersten Dialog-Seite zeigt Windows an, um welche Version es sich handelt und welches Service Pack schon installiert ist. Wer eine Neuinstallation unternimmt, braucht übrigens fürderhin nur noch das Service Pack 2 einzuspielen; es enthält auch alle Neuerungen des Vorläufers.

Um bei häufigen Neuinstallationen das Service Pack nicht ständig über das Windows-Update herunterladen zu müssen, empfiehlt sich das von Microsoft „Netzwerk-Variante“ getaufte rund 270 MByte große Paket. Es lässt sich beliebig oft auf alle Windows-Versionen (Home, Professional, Media Center und Tablet PC Edition, nicht jedoch die 64-Bit-XP-Varianten) anwenden. Ferner lässt sich nur mit diesem Paket eine Installations-CD bauen, die das Service Pack bereits enthält (Slipstream, siehe [#literatur [1]]). Die Heft-CD enthält außer dieser Netzwerk-Variante des SP2 noch eine Reihe weiterer nützlicher Dinge, so die Debug-Symbole und die Support-Tools.

XP gewinnt durch die Installation der Korrekturen erheblich an Sicherheit, misst man dies an der normalen Ausstattung eines Systems nur mit Service Pack 1. Wer hingegen sein System über die automatische Update-Funktion oder unsere Schutzimpfung [#literatur [4]] stets aktuell hält, gewinnt „nur“ die grundsätzlich von Microsoft überarbeiteten Funktionen, sprich den Schutz durch die standardmäßig aktive Firewall, die Verbesserungen am Internet-Explorer und einige Ergänzungen. Wer sein System bisher stets mit Updates versorgt hat und es mit einer Firewall schützt, bekommt im Wesentlichen einige neue Features.

In den Wochen nach der Freigabe durch Microsoft machten eine Menge negativer Installationsberichte die Runde. Mit einer zunächst wenig aussagekräftigen Liste hat Microsoft selbst Öl in dieses Feuer gegossen: In der Knowledge-Base [#literatur [5]] findet sich ein Artikel, der einzelnen Applikationen Probleme attestiert, wenn sie auf einem System mit dem Service Pack laufen sollen. Erst eine Woche nach der Erstveröffentlichung hat Microsoft die Probleme konkreter beschrieben. Nachdem es schon vielerorts hieß, bestimmte Applikationen liefen nach der Installation des Service Pack nicht mehr, wurde klar, dass es sich um Details oder spezielle Umgebungen (etwa NX-Schutz auf Athlon64) handelte. Praktische Hilfen für eventuelle Probleme mit der integrierten Firewall gibt Microsoft in [#literatur [6]].

Selbst bei nahezu identischer Hardware variieren die Installationserfahrungen: Eines unserer Testsysteme ließ sich partout nicht mehr starten, wenn das Service Pack 2 erst mal losgelassen war. Erst das Entfernen der Radeon-9600-Grafikkarte machte das System wieder flott - mit installiertem Service Pack ließ sich die Karte anschließend wieder einbauen und lief, als sei nichts geschehen. Ähnliche Meldungen lassen sich auch zu anderen Komponenten finden. Erste Lösungsansätze kann das Auswerten des Boot-Protokolls bringen, das man im XP-Loader (die Bootweiche) über einen Druck auf F8 aktivieren kann.

Trotz überwiegend positiver Installationserfahrungen empfehlen sich zwei Handgriffe: Eine Personal Firewall sollten Sie bei der Installation deaktivieren (und dann natürlich nicht mehr online gehen) sowie den Virenwächter stilllegen (den allein schon deshalb, weil er mächtig Performance schluckt, wenn das halbe System umgekrempelt wird). Wer die Möglichkeit hat, ein Abbild (Image) seiner Systempartition anzufertigen, tut gut daran, das vor der Installation des Service Pack zu tun - sicher ist sicher. Sollte die Installation nach dem Einlegen der CD nicht automatisch starten, klicken Sie einfach die Datei autorun oder xpsp2 auf der CD doppelt.

Geht die Installation tatsächlich schief, so sorgt das Service Pack vor. Anders als sein Vorgänger, der noch fragte, legt es stets eine Kopie der ausgetauschten Systemdateien an, sodass man über die Systemsteuerung unter Software das Service Pack mit wenigen Mausklicks wieder deinstallieren kann (auch im abgesicherten Modus). PCs, die nachher Schwierigkeiten machten, haben wir so meist wieder in einen funktionstüchtigen Zustand versetzen können. Wichtig ist aber, dass man sich das einigermaßen schnell überlegt. Mit jedem zusätzlich nach dem Service Pack installierten Programm schwinden die Chancen, dass das noch gut geht (welche Programme betroffen sind, verrät die Deinstallationsroutine).

Eine Methode, den Datenwust loszuwerden, den diese Sicherungsdateien belegen, hat Microsoft nicht vorgesehen. Rund 300 MByte liegen in den Systemverzeichnissen nachher nutzlos herum. Auf einem Testsystem ließen sich die Dateien aber problemlos löschen. Apropos Platz: Das Service Pack beansprucht bei der Installation rund 900 MByte Platz auf der Festplatte, um temporäre Dateien beim Auspacken und die Sicherungsdateien anzulegen. Auch die dem Heft beiliegende CD oder andere autorisierte CDs von Microsoft enthalten lediglich das selbstextrahierende Archiv des Service Pack; eine offizielle entpackte Variante, die womöglich mit weniger temporärem Platz auskäme, gibt es nicht.

Im Detail hat die vollständige Version des Service Pack 2 ohnehin einen größeren Nutzen als der Download: Auf der CD finden Sie außer dem Service Pack eine aktualisierte .NET-Runtime (Version 1.1) inklusive der deutschen Sprachdateien (Verzeichnis \dotnetfx). Die Support-Werkzeuge, die sich auch auf der Original-Windows-CD finden und andere an das Service-Pack angepasste Beigaben, etwa das NetBEUI-Protokoll, das XP nicht mehr offiziell unterstützt, runden das Software-Angebot auf der CD ab.

Langfristig dürfte das Service Pack so selbstverständlich sein wie eine Schluckimpfung. In einigen Monaten werden mehr und mehr Produkte seine Installation voraussetzen. Das beginnt bei normalen Applikationen und endet bei speziellen Produkten, etwa fürs WLAN, die auf überarbeiteten Konfigurationsoptionen für alternative Verschlüsselungstechniken wie WPA bauen, oder für Bluetooth-Gerätschaften, die sich jetzt auf einen einheitlichen Stack in den meisten Windows-Installation verlassen werden.

Erhebt Microsoft das Service Pack 2 erst mal zum Standard, wird es neue Korrekturen für aktuell entdeckte Sicherheitslücken womöglich nur noch für die grundsätzlich modernisierten Systeme geben. Im Systemunterbau hat sich schließlich allerhand getan, so sind viele Änderungen aus dem Windows Server 2003 eingeflossen, die vor Buffer-Overruns schützen sollen. Ein Hotfix zum Schließen einer solchen Lücke dürfte sich zwischen Service Pack 1 und 2 schon erheblich unterscheiden.

Rezepte, wie sich die neuen Sicherheitsfunktionen unterminieren lassen, kursieren schon seit geraumer Zeit im Internet. Es ist eine Frage der Zeit, bis jemand aus all den Detailinformationen eine neue Schadsoftware zusammensetzt. Die Geschwindigkeit, in der solche Schädlinge erscheinen, dürfte das Service Pack 2 drosseln. Insofern ist es eine sinnvolle Ergänzung. (ps)

[1] Andreas Marx, Axel Vahldiek, Karsten Violka, Da gibts doch was von Microsoft!, Das zweite Service Pack für Windows XP, c't 16/04, S. 92

[2] Daniel Bachfeld, Firewall-Kur, Netzwerkschutz mit Service Pack 2, c't 16/04, S. 98

[3] Daniel Bachfeld, Surf-Versicherung, Sicherer Surfen mit Service Pack 2, c't 16/04, S. 102

[4] Karsten Violka, Harald Hothan, Schutzimpfung 2.0, Windows-Update ohne Internet-Verbindung, c't 13/04, S. 194

[5] Microsofts Liste von Programmen mit Problemen unter Service Pack 2

[6] Hilfestellungen von Microsoft zum integrierten Firewall

[7] Hilfestellungen von Microsoft für die Einführung des Service Packs in Unternehmen

[#anfang Seitenanfang]


Die Firewall erkennt jetzt auch Dienste, die Ports nach außen öffnen, etwa solche für Videokonferenzen. Sie erlaubt einfaches Setzen von Ausnahmeregeln, bietet insgesamt aber mäßigen Schutz vor Manipulationen; so bildet sie nicht einmal eine Prüfsumme über die EXE-Datei einer als Ausnahme definierten Applikation.

Das Sicherheitscenter überwacht, ob Firewall, Virenscanner und automatisches Update aktiv sind. Es signalisiert allerdings trügerische Sicherheit, da es leicht manipulierbar ist, wenn der Benutzer - wie üblich - als Administrator arbeitet. Tut er das nicht, kann er in der Regel nicht auf die Hinweise des Centers adäquat reagieren, etwa zum Updaten der Virensignaturen.

Die Wurm-Drossel ist eine Optimierung im TCP/IP-Stack, die eine große Anzahl von einem Prozess ausgehende Verbindungsversuche „drosselt“. Sinnvoll ist das, um „Distributed Denial Of Service“-Attacken (DDOS) auf Server Dritter zu verhindern. Die Drossel behindert aber unter Umständen Programme, neben Tauschbörsensoftware auch alternative Browser, die so etwas mehr Tempo machen.

Aus dem Internet bezogene Dateien markiert der Dateiausführungsschutz in Outlook Express, Internet Explorer und Messenger mit der zugehörigen Zoneninformation (siehe auch S. 206). Der Windows Explorer beherzigt die Markierung und führt die Dateien nur unter Protest aus. Leider wirkt der Schutz auf der Kommandozeile nicht, die zudem alle Dateien ausführt, solange es sich um eine gültige EXE-Datei handelt, selbst wenn sie mit der Endung .gif oder .txt daherkommen.

Dateiausführungsverhinderung ist der offizielle Name der Funktionen, die auf modernen Systemen wie Athlon64 Daten davor schützen, als Programmcode ausgeführt zu werden (No Execute, kurz NX). Das GUI zum Definieren von Ausnahmen existiert auch auf 32-Bit-Systemen ohne diese Hardware-Fähigkeit, bleibt dort jedoch wirkungslos.

Das von Microsoft als Windows-Update-V5 grundlegend überarbeitete Online-Update kann jetzt die eigentlichen Update-Pakete im Hintergrund übertragen und nutzt dafür nur die vom Benutzer nicht benötigte Bandbreite. Alte Systeme (Version 4) werden beim Besuch von Windows-Update automatisch umgestellt.

Das Zonenmodell des Browsers wurde überarbeitet, um den böswilligen Wechsel von Zonen zu verhindern, in die ein Surfer Websites einteilen und unterschiedliche Rechte vergeben kann. Nach der Veröffentlichung des Service Pack 2 wurde aber bereits eine Lücke bekannt, die sich bei Drag & Drop aus einem Browser-Fenster heraus auftut.

Der Addon-Manager verwaltet so genannte Browser-Helper-Objects, etwa für Flash oder PDF über ein GUI. Bisher konnte man solche Objekte nur über Registry-Einträge bearbeiten, also etwa stilllegen.

Der Popup-Blocker zeigt beim Besuch einer Website mit Popup-Fenstern nur eine Warnung, nicht die Fenster; Ausnahmen lassen sich definieren, und auf Wunsch zeigt der Explorer auch Popups an. Erste Websites schaffen es aber inzwischen trotzdem, Popups aufspringen zu lassen, etwa www.teleauskunft.de.

[#anfang Seitenanfang]


Mit dem Sicherheitszentrum des Service Pack 2 erklärt Microsoft Antivirussoftware zur Pflicht. Da liegt die Frage nahe, wie sich solche Produkte in die neuen Vorgaben Microsofts integrieren. Für Antivirussoftware haben wir das untersucht; für Firewalls reichen wir das in einer kommenden Ausgabe nach.

Wir haben alle in der Tabelle aufgeführten Produkte dafür zunächst unter Windows XP Home Edition mit Service Pack 1 installiert und anschließend über deren integrierte Update-Funktion auf den zum 18. August aktuellen Stand gebracht. Im Anschluss daran haben wir das Service Pack 2 installiert (die Netzwerk-Variante wie von der CD) und überprüft, ob das Sicherheitscenter die Programme erkennt. In einem zweiten Testlauf haben wir die Produkte auf einem Windows XP eingerichtet, das bereits mit dem Service Pack bestückt war.

Diese Tests brachten zwei Ausreißer: H+BEDVs AntiVir gerät beim Installieren des Service Pack nicht unter die Schirmherrschaft des Security Center, sehr wohl aber, wenn es schon installiert ist. F-Secure hingegen führte auf unseren Testsystemen, wenn es unter dem Service Pack 2 installiert wurde, zu einem Blue Screen.

Bei der Art der Integration in das Security Center unterscheiden sich die Probanden erheblich. Nur für wenige Produkte erkennt diese zentrale Anlaufstelle, ob die Signaturen noch aktuell sind. Auch klappt die Überwachung der Prozesse oder Dienste keineswegs perfekt. Langfristig dürfte aber jeder Hersteller SP2-konforme Funktionen nachrüsten. Abgesehen von vereinzelten Integrationsschwächen arbeiten die Virenscanner unter XP mit SP2 ebenso verlässlich wie vorher. (Andreas Marx)

Antivirussoftware und das Security-Center
Hersteller, Anbieter Produktname Version Integration Security Center Beobachtung durchs Security Center
Update von SP1 Neuinstallation veraltete Signaturen Prozessmonitor Dienstmonitor
H+BEDV Datentechnik AntiVir Personal Edition 6.27.00.01 - + - - -
Grisoft AVG 7.0.262 + + - - -
G Data AntiVirenKit (AVK) 2004 14.0.8 + + - - +
Softwin BitDefender Standard 7.2 + + - - +
Command Software Command AV 4.91.0 - -
Igor Daniloff Dr. Web 4.31b - -
Computer Associates eTrust AV (CA-Engine) 7.0.141 + + + + -
Computer Associates eTrust AV (VET-Engine) 7.0.141 + + + + -
Frisk Software F-Prot for Windows 3.15 + + - (+)1 (-)2
F-Secure Internet Security 2004 4.70 build 41 - -3
Ikarus Software Virus Utilities 5.13d - -
Kaspersky Labs Kaspersky AV Personal 5.0.121 + + + (-)4 (-)4
Network Associates McAfee VirusScan 2004 8.0.41 + + + (+) 1 +
Eset Nod32 2.0 1.845 - -
Norman Virus Control 5.70 + + + (-)5 +
Symantec Norton AV 2004 10.0.1.13 + (teilweise) + (teilweise) -6 - -
Panda Software Panda AV Platinum 2004 7.07.01 + + - - -
Trend Micro Trend Internet Security 11.31.3017 + + + + +
Sophos Sophos AV (Sweep) 3.84 + + + - +
1 erst nach zirka zwei Minuten 2 läuft nicht als Dienst 3 Rechner startet nicht mehr (Blue Screen) 4 lässt sich nicht beenden 5 Systemabsturz beim Beenden 6 Meldung, dass Status nicht ermittelbar + vorhanden - nicht vorhanden

[#anfang Seitenanfang]


c't hat schon im Vorfeld detailliert über das Service Pack 2 berichtet. Die in der Literatur ausgewiesenen Artikel können Sie bis Ende September kostenlos als PDF-Dateien herunterladen. Besuchen Sie unseren Kiosk unter www.heise.de/kiosk/, in dem Sie einzelne Artikel jeder c't-Ausgabe seit 1990 kaufen können. Geben Sie als Suchbegriff „Praxis XP Service Pack 2“ ein und aktivieren Sie als Suchbereich Titel/Schlagwort. Der Kiosk führt Sie dann zu den Download-Seiten für die PDF-Dateien.

Kommentare

Kommentare lesen (46 Beiträge)

Anzeige