Na vele beta’s en geruchten over wanneer Service Pack 2 voor Windows XP beschikbaar zou zijn, is de definitieve versie van Service Pack 2 sinds begin augustus 2004 beschikbaar. Wij hebben de definitieve versie al bekeken en presenteren de nieuwe functies.
Inhoudsopgave
Geschiedenis
Tot nu toe beperkte Microsoft zijn service packs tot het repareren van bekende (of onbekende) beveiligingslekken en systeemfouten. Door vele incidenten vorig jaar en dit jaar heeft Windows XP echter de reputatie een onveilig besturingssysteem te zijn. Microsoft had daarom aangekondigd dat het komende servicepack uitgebreid zou worden met vele functies die het besturingssysteem aanzienlijk veiliger zouden moeten maken. Het Service Pack 2 van Windows XP is dan ook meer een 2e editie van Windows XP.
De fundamentele wijzigingen – naast vele patches en fixes, meer dan 870 volgens Microsoft – betreffen enerzijds de firewall, de Internet Explorer en de updatefunctie, anderzijds de “NX”-functie, die moet beschermen tegen buffer overflows. Voor Windows XP Media-Center Edition 2002 is er een nieuwe gebruikersinterface en verbeteringen in het lezen van muziek-cd’s. Gebruikers van tablet-pc’s zullen in Service Pack 2 ook verbeteringen aantreffen, zoals herkenning van enkelvoudige tekens of de suggestie van alternatieve woorden bij tekenherkenning. Wegens gebrek aan hardware hebben we deze functies echter niet kunnen testen.
Installatie
De volledige download van Service Pack 2 bedraagt maar liefst 265 MB.
De installatietijd bedraagt 15-30 minuten, afhankelijk van het systeem. Als u een “gestolen serienummer” hebt gebruikt, kunt u een geldig nummer invoeren met de tip “Vervang verkeerd serienummer”. Anders kan SP2 weigeren te installeren.
Natuurlijk zijn er weer commandoswitches voor het EXE-bestand, dat ook kan worden weergegeven met filename.exe /?
Setup parameters |
De belangrijkste zijn:
- /Uninstall
Verwijdert de update of het servicepack - /? of /Help
Geeft de helptekst weer - /D:Mapnaam
Slaat de installatiebestanden van het servicepack op in de opgegeven map. - /N
Slaat de bestanden niet op die nodig zijn om het servicepack of de hotfix te verwijderen. Er is geen knop Verwijderen beschikbaar onder de optie Programma’s toevoegen/verwijderen in het Configuratiescherm – dus het servicepakket of de hotfix kan niet worden verwijderd. - /Quiet
Gebruikt de stille modus – dit is hetzelfde als de modus zonder toezicht (maar de gebruikersinterface wordt niet weergegeven). Er wordt geen informatie weergegeven tijdens de installatie - /integrate mapnaam
Combineert de service pack bestanden met de originele installatie bestanden van een Windows XP CD op de harde schijf (zogenaamde slipstream installatie; zie het aparte artikel over WinTotal).
De installatie biedt een undo-functie om in geval van problemen de installatie van het servicepack ongedaan te maken.
Ongedaan maken functie |
Na de installatie toont het commando winver het volgende versienummer van het besturingssysteem:
winver |
Ik neem aan dat dit nog wordt aangepast in de “eindklantversie”.
Beveiligingscentrum
Na de eerste aanmelding verschijnt onmiddellijk het Beveiligingscentrum als er een probleem is geconstateerd. In het Beveiligingscentrum, dat ook via het “Control Panel” toegankelijk is, wordt alle veiligheidsrelevante informatie samengevat: Virusbescherming, firewall en automatische updates. Deze worden hier bewaakt (bijv. is de virusscanner actief of is deze uitgeschakeld) en kunnen ook via snelkoppelingen worden geconfigureerd.
Beveiligingscentrum |
Bovendien herinnert een rood pictogram in de systray eraan dat de pc niet optimaal beveiligd is.
Kleine problemen met virusscanners
In ons geval ontbreekt een virusscanner op het testsysteem. Maar zelfs als een virusscanner aanwezig is, merkt het beveiligingscentrum dit niet noodzakelijkerwijs op. Het is nog maar de vraag of alle virusscanners al“Service Pack 2 ready” zijn en zich goed registreren bij het systeem via een speciaal daarvoor bestemde API. U kunt het Beveiligingscentrum dus ook vertellen dat u een virusscanner heeft en niet meteen een nieuwe hoeft aan te schaffen, zoals het Beveiligingscentrum aanbeveelt (checkbox hieronder).
Controle virusscanner uitschakelen |
Het Beveiligingscentrum geeft dan aan dat het deze functie niet bewaakt.
Controle virusscanner uitgeschakeld |
Automatische updates
De instellingen voor de automatische update van Windows, die voorheen waren verankerd onder “Systeem” in het “Configuratiescherm”, hebben nu een eigen pictogram in het “Configuratiescherm” gekregen en kunnen via dat pictogram worden geconfigureerd.
Automatische updates |
Nieuw is hier de standaardinstelling om gedownloade updates automatisch te installeren. In het verleden lieten veel gebruikers de updates automatisch downloaden, maar installeerden ze niet via het ladepictogram. Met Service Pack 2 zou dit nu automatisch moeten gebeuren.
Windows Firewall
De meest opvallende vernieuwing is de verbeterde firewall (ook wel Internet Connection Firewall – kortweg ICF genoemd) in Windows XP. Al in de oorspronkelijke versie had Windows XP een firewall die kon worden geactiveerd en geconfigureerd in de eigenschappen van de betreffende verbinding. Helaas maakten slechts weinig gebruikers gebruik van deze functie. De redenen hiervoor zijn waarschijnlijk de slechte werking en de verborgen activeringsmogelijkheid.
Met Service Pack 2 verandert dit. Allereerst krijgt de firewall een eigen pictogram in het configuratiescherm en is daardoor beter toegankelijk.
Windows firewall |
In dit dialoogvenster kunt u de firewall aanpassen. Als de computer zich in een domein bevindt, kunnen de instellingen ook worden opgegeven via groepsbeleid (zie verdere links).
Niet direct duidelijk is dat de firewall verschillende filterinstellingen gebruikt voor werking met en zonder domein. Op die manier kan de computer binnen het domein relatief open worden gelaten (bv. met een hardware firewall) en beter worden beschermd bij zelfstandig gebruik (bv. via WLAN van openbare hotspots).
Voornamelijk bescherming van buitenaf
De firewall beschermt Windows tegen alle toegang van buitenaf. Pakketten die niet zijn aangevraagd, worden door het systeem weggegooid. Als u uitzonderingen wilt, kunt u die definiëren op het 2e tabblad.
Windows Firewall |
De uitzondering kan een poort zijn of een programma dat poorten wil openen voor serverdiensten. In de standaardtoestand is zelfs het delen van bestanden en printers gedeactiveerd, d.w.z. shares in het LAN zijn aanvankelijk voor niemand toegankelijk.
Als u nu bestands- en printerdeling als uitzondering definieert, kunt u ook aangeven voor welk gebied de uitzondering geldt. Normaal gesproken zou bijvoorbeeld bestands- en printerdeling alleen moeten gelden voor een lokaal subnet, maar niet voor het hele internet.
Windows-firewall |
Je kunt ook programma’s vrijgeven die dan volledige toegang hebben tot de firewall en dus zelf bepalen welke poorten geopend moeten worden. Hiervoor wordt een aparte API binnen Windows gebruikt. Het is niet mogelijk de poort voor een programma op te geven.
Als een programma een poort wil openen zonder dat deze of het programma is vrijgegeven, verschijnt er een vraag van het systeem en kunt u de uitzondering toestaan.
Windows Firewall |
Als u weigert, verschijnt de toepassing nog steeds in de lijst met uitzonderingen, maar zonder vinkje.
Windows Firewall |
Als u naar het tabblad “Geavanceerd” kijkt, ziet u dat de firewall nu in principe voor alle verbindingstypen geldt:
Windows Firewall |
Hier kunnen per verbindingstype uitzonderingen worden ingesteld. Het grote voordeel van deze methode is dat bijvoorbeeld inbelverbindingen altijd beschermd zijn. Vroeger moest je de bescherming voor elke verbinding apart activeren.
Geen functies zoals ZoneAlarm en Co.
In tegenstelling tot andere aannames is de Windows firewall geen applicatie firewall zoals ZoneAlarm, want alleen de programma’s die server services willen openen worden geblokkeerd. Dit betekent dat de firewall geen bescherming biedt tegen programma’s die zich op het systeem nestelen en hun gegevens versturen via gemeenschappelijke poorten (voor mail, webbrowsers, enz.). Wie wil weten welke toepassingen contact willen maken met het internet, moet dus blijven vertrouwen op een “echte” applicatiefirewall.
Bovendien worden geautoriseerde programma’s niet voorzien van een controlesleutel in de uitzonderingen. Een vindingrijke Trojan zou dus gewoon een bestaande applicatie kunnen muteren (uitgaande van admin-rechten). Als deze al “geautoriseerd” was, zou de gemodificeerde versie zonder verder onderzoek blijven draaien.
Installatie draadloos netwerk
Wat bijzonder nieuw klinkt, biedt nauwelijks iets nieuws: De wizard achter het pictogram vraagt naar alle parameters die nodig zijn om toegang te krijgen tot het WLAN.
Installatie draadloos netwerk |
Daarna kunt u de configuratie op een verwisselbare schijf opslaan om de informatie op andere pc’s over te dragen. Dit is een nuttige functie, vooral voor wachtwoorden, die een frequente bron van fouten zijn bij niet functionerende WLAN-netwerken.
Installatie draadloos netwerk |
Nieuw in Internet Explorer
Het probleemkind van Microsoft – bijna wekelijks worden nieuwe beveiligingslekken bekend – moet ook meer “veiligheid” krijgen. Hoewel het ontwerpprobleem van “nauwe integratie met het besturingssysteem” niet is opgelost, heeft Microsoft toch op sommige gebieden verbeteringen aangebracht.
Pop-up blocker
Niets is vervelender dan pop-ups op het internet. Hoewel het ongedierte verstandig kan worden gebruikt, leggen webmasters hun bezoekers gewoon te veel op en ergeren ze zich aan reclamepop-ups. Pop-up blockers behoren daarom al enige tijd tot de standaarduitrusting van concurrerende browsers. Nu heeft ook Microsoft gereageerd en biedt met SP2 overeenkomstige functies voor Internet Explorer. De pop-up blocker is verborgen in de “Internet Opties” onder “Privacy”.
Pop-up blokkering |
Achter de knop “Instellingen” kunt u het verdere gedrag van de blokkering en de uitzonderingen instellen.
Pop-up blokkering |
Wanneer de eerste pop-up verschijnt, verschijnt een opmerking met verdere informatie in de statusbalk van de browser.
Pop-up blokkering |
Hier staat ook een pictogram dat aangeeft dat de pop-up blocker is geactiveerd.
Via het contextmenu van het pictogram kunt u nu bepalen hoe u verder gaat:
Als u pop-ups op specifieke webpagina’s wilt toestaan, hoeft u de pagina’s niet handmatig in te voeren, maar kunt u dat doen via het contextmenu.
Aangezien WinTotal voor downloads een apart pop-upvenster met de downloadlink moet openen, moet het domein WinTotal.de dus worden opgenomen in de lijst met “uitzonderingen”.
Add-ons beheren
Onder Internetopties -> Programma’s -> Add-Ons beheren is er een nieuwe functie die de geïnstalleerde Browser Helper Objects, Browser Plugins en ActiveX Controls weergeeft.
Programma’s zoals de Google Toolbar, Acrobat PDF of extensies van Macromedia nestelen zich hier, maar ook nare dingen die pagina’s omleiden of gegevens bespioneren. Met de nieuwe knop heb je een overzicht van alle extensies en kun je ze selectief in- en uitschakelen. Tot nu toe moest je bij andere producten in de kaarten van IE kijken. Bovendien zijn add-ons van derden vaak verantwoordelijk voor het vastlopen van Internet Explorer. Door alle add-ons uit te schakelen en vervolgens weer in te schakelen tot de fout optreedt, is het makkelijker om de boosdoener op te sporen. Als aanvulling hierop helpt Internet Explorer nu zelf. Bij een crash controleert een foutanalyseprogramma of een add-on verantwoordelijk is en identificeert de boosdoener. Deze kan vervolgens via het add-onbeheer proefondervindelijk worden gedeactiveerd.
Add-ons beheren |
Geen automatische downloads meer
Als u op een download klikt, verwijzen veel websites u eerst door naar een spiegelserver en starten die dan. Dit werkt niet meer met Internet Explorer onder Service Pack 2. In plaats daarvan verschijnt een berichtvenster bovenaan het browserscherm.
Downloads |
Om de download toch te starten, moet u in het hintgebied klikken en dan op“Download bestand“. De tip in het WinTotal tiparchief beschrijft hoe u de download opnieuw kunt activeren.
Aangezien WinTotal de downloads ook naar de browser doorstuurt, moet de download voortaan op deze manier worden gestart.
Wat voor downloads geldt, heeft Microsoft op dezelfde manier ook voor ActiveX-besturingselementen geïmplementeerd.
Geen automatische downloads van ActiveX |
Als een pagina een ActiveX-besturingselement wil installeren (bijv. een Office-update), verschijnt boven in de browser ook een gele melding om het besturingselement na bevestiging al dan niet te installeren.
Downloads van het net
De downloaddialoog zelf is ook herzien:
Downloads |
Als u nu het bestand opslaat op een NTFS-gegevensdrager en vervolgens het gedownloade bestand start, verschijnt nu een waarschuwingsmelding:
Downloads |
De dialoog verschijnt ook als het bestand eerder werd uitgepakt met Windows’ eigen uitpakker. Als daarentegen producten van derden worden gebruikt, gaat de vlag“Van internet” verloren.
Windows Update V5
Samen met SP2 gebruikt het nieuwe systeem ook versie 5 van Microsofts Windows Update website. De meest opvallende nieuwigheid hier is dat je kunt kiezen tussen“Snelle installatie” en“Aangepaste installatie“.
Windows update V5 |
In de eerste modus,“Snelle installatie“, worden alleen de belangrijke beveiligingsupdates voor het betreffende systeem geïnstalleerd.
In de“door de gebruiker gedefinieerde” modus worden daarentegen ook andere installatiebestanden en stuurprogramma’s aangeboden die niet als belangrijk zijn aangemerkt.
Beveiligde e-mails met Outlook Express
Outlook Express heeft aanzienlijk bijgedragen tot de verspreiding van mailwormen omdat het ontbrak aan passende beschermingsfuncties. Microsoft heeft deze nu toegevoegd. Op het tabblad “Beveiliging” onder “Opties” zijn 2 nieuwe opties toegevoegd:
De functie“Waarschuwing tonen wanneer andere toepassingen proberen e-mail te versturen onder mijn naam” is bedoeld als bescherming tegen mailvirussen die Outlook Express via een script als mailbom gebruiken.
De functie“Blokkeer afbeeldingen en andere externe inhoud in HTML e-mail” biedt wat andere mail clients al enige tijd kunnen. Afbeeldingen en andere objecten in HTML e-mails worden niet langer herladen wanneer deze optie is geactiveerd.
Outlook Express |
Bij pogingen om bestanden te starten die via mail zijn ontvangen, verschijnt nu ook een waarschuwing voor de gebruiker.
Geoptimaliseerd geheugenbeheer
“Data Execution Prevention (DEP)” is de naam van de nieuwe geheugenbescherming van Windows XP met SP2. Microsoft wil hiermee de uitvoering van programmacode door bufferoverloop voorkomen. De nieuwe functie kan de eigenlijke bufferoverloop echter niet onderdrukken.
Het probleem van buffer overflows wordt zeer goed beschreven in het artikel Buffer overflows en andere vooraf bepaalde breekpunten van Heise.de.
Microsoft heeft zijn eigen programmacode opnieuw gecompileerd met aanpassingen om buffer overflows van 32-bit programma’s te voorkomen. Microsoft heeft het nieuwe geheugenbeheer nader toegelicht onder de link.
Onder Windows XP in Service Pack 2 heet het geheel data execution prevention. Als er een CPU in het systeem zit die dergelijke beschermingssystemen aan de hardwarekant biedt (bijv. Athlon 64 met de NX-functie), wordt deze ook geactiveerd. Anders emuleert Windows XP met SP2 deze functie.
De beveiligingsfunctie is te vinden via Configuratiescherm -> Systeem -> Geavanceerd -> Systeemprestaties -> Instellingen op het tabblad “Preventie van gegevensuitvoering”.
Standaard is de preventie van gegevensuitvoering alleen geactiveerd voor belangrijke programma’s en diensten van het Windows-besturingssysteem. De bescherming kan echter worden uitgebreid tot alle programma’s, waarbij uitzonderingen mogelijk zijn: Niet elk programma hoeft foutloos te draaien. Als een programma na SP2 problemen veroorzaakt, kan dat dus te wijten zijn aan de nieuwe functie. In dat geval moet men de toepassing toevoegen aan de uitzonderingenlijst.
Geheugenbescherming |
Optioneel kunt u ook werken met de Application Compatibility Toolkit en“DisableNX” instellen voor de betreffende toepassing – > Details” href=”http://www.microsoft.com/en-us/download/details.aspx?id=7352″ target=”_blank” rel=”noopener”>Microsoft Downloads-Details. Deze worden vervolgens opgeslagen in het register onder HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionAppCompatFlags, mits de nieuw aangemaakte database is opgeslagen en in het register is ingevoerd met“Installeren“.
Geheugenbescherming |
Veel problematischer dan afzonderlijke programma’s zijn echter drivers die door de PAE-modus (Physical Address Extension) uit de pas kunnen lopen. In de regel zouden er geen problemen moeten zijn als de fabrikanten van drivers zich aan de specificaties hebben gehouden. Het verleden toont echter aan dat veel drivers nog steeds slordig geprogrammeerd zijn en een systeem uit de pas kunnen laten lopen, hoewel de situatie sinds Windows XP aanzienlijk verbeterd is.
U kunt de nieuwe geheugenbescherming volledig uitschakelen via boot.ini(Configuratiescherm -> Systeem -> Geavanceerd -> Opstarten en herstellen -> Bewerken) als u de vermelding“/NoExecute” instelt op“/Execute“. Met de schakelaar /Execute wordt de uitvoeringsbescherming voor het hele systeem uitgeschakeld.
Meer nieuws
Naast talrijke bugfixes (zie verdere links), zijn er nog enkele andere kleine zaken waar te nemen (geen aanspraak op volledigheid, zie verdere links hieronder).
- De berichten- en waarschuwingsdienst wordt gedeactiveerd. In het verleden heeft deze gebruikers herhaaldelijk verontrust en geërgerd door het opduiken van vensters met teksten van het internet.
- Met Service Pack 2 ondersteunt Windows XP zelf Bluetooth en is dus niet langer afhankelijk van suites van derden van fabrikanten voor basisfuncties.
- Het aantal gelijktijdige TCP/IP-verbindingen dat de XP-client met de buitenwereld maakt, is met SP2 stevig beperkt tot 10 (zie ook Heise Security). Voorheen was de waarde vastgelegd in het register, maar nu waarschijnlijk in het TCPIP.SYS bestand. Wie deze waarde overschrijdt, krijgt de foutmelding in het foutenlogboek: EventID 4226: TCP/IP heeft de beveiligingslimiet bereikt die is ingesteld voor het aantal gelijktijdige TCP-verbindingspogingen. Gebruikers van filesharing netwerken hebben al bij voorbaat geklaagd en hebben een patch oplossing, die echter niet van Microsoft zelf komt – maar uit vrij onbekende kringen. Er zou een patch zijn van http://www.lvllord.de/ – ook voor de finale van Service Pack 2 – waarmee de beperkingen kunnen worden opgeheven.
- Er zijn enkele wijzigingen aangebracht in de RPC-service voor Windows XP SP2 die de RPC-interfaces standaard veilig maken en het aanvalsoppervlak van Windows XP verkleinen.
- Windows Media Player 9 wordt geïnstalleerd als onderdeel van Windows XP SP2. Microsoft rechtvaardigt deze stap met bekende beveiligingsproblemen van oudere edities van de Media Player.
- Windows Movie Maker wordt geïnstalleerd in versie 2.1.
- DirectX wordt geïnstalleerd in versie 9.0c.
- De nieuw geïntroduceerde Windows Installer 3.0 moet de onderlinge afhankelijkheden van de patches beter herkennen en het patchbeheer in het algemeen vereenvoudigen.
Conclusie
Microsoft heeft veel ingebouwd in Service Pack 2, maar zal toch kritiek moeten incasseren.
De firewall biedt goede basisbescherming, maar is voor slimme hackers onnodig makkelijk uit te buiten door het ontbreken van checksums en het feit dat bijna alle gebruikers als beheerder zijn ingelogd. Bovendien ontbreekt een echte applicatiefirewall voor alle verbindingen met het internet.
De Internet Explorer extensies zijn leuk, maar ze zijn al lang standaard in andere browsers. Microsoft heeft in ieder geval de deur naar het eigen leven van Internet Explorer gesloten. Zonder enige actie van de surfer werkt niets meer, zelfs geen download.
Of het geoptimaliseerde geheugenbeheer in zijn huidige vorm werkelijk duurzame bescherming biedt tegen veiligheidsproblemen veroorzaakt door buffer overflows valt nog te bezien. Veel urgenter is de vraag of stuurprogramma’s en toepassingen van andere fabrikanten met de nieuwe voorwaarden van het geheugenbeheer kunnen omgaan.
Verdere links
- Onder de Engelstalige link 835935 vindt u alle release notes voor Service Pack 2 in het Engels.
- SP2 kan worden gedownload uit het software-archief.
- Windows XP Service Pack Support Tools voor Service Pack 2 kunnen hier worden gedownload.
- Onder de ID 811113 heeft Microsoft alle fixes samengevat die in Service Pack 2 zijn opgenomen. Aangezien alle Service Packs cumulatief zijn, bevat Service Pack 2 ook alle fixes die al met Service Pack 1a werden aangeboden.
- Op https://support.microsoft.com/en-us/help/14223/windows-xp-end-of-support vindt u het ondersteuningscentrum voor Service Pack 2 met meer informatie. De ondersteuning voor Windows XP is op 8 april 2014 verlopen.
- Microsoft heeft alle fouten die met Service Pack 2 zijn verholpen samengevat onder ID 811113.
- Onder ID 842242 staat een lijst met programma’s die problemen veroorzaken met de firewall na de installatie van Service Pack 2 en hoe u deze kunt verhelpen.
- Een SP2 Blocker Tool, die de levering van Service Pack 2 via WindowsUpdate tot december 2004 verhindert, kan
hier worden gedownload(niet langer beschikbaar). De tool is vooral interessant als u Windows Update actief en automatisch wilt houden, maar nog niet wilt of kunt overstappen op SP2.