Know-how Daniel Bachfeld. Vergitterte Fenster, Teil 1&2 und Bericht aus c't 16/2004. Neue Sicherheitsfunktionen in Windows XP mit Service Pack 2

Transkript

1 Know-how Daniel Bachfeld Vergitterte Fenster, Teil 1&2 und Bericht aus c't 16/2004 Neue Sicherheitsfunktionen in Windows XP mit Service Pack 2 Microsoft will mit Service Pack 2 Windows XP widerstandsfähiger gegen Angriffe von Viren, Würmern und Hack Welche Änderungen und neuen Sicherheitstechniken dahinter stecken, beleuchtet dieser Überblick. Netzwerkschutz, Speicherschutz, sichere -Verarbeitung, sichereres Web-Browsing und verbesserte Pflege des Syst helfen, die Gefahr aus dem Netz zu entschärfen. Das Dokument "Changes to Functionality in Microsoft Windows XP Ser beschreibt detailliert, welche Änderungen Service Pack 2 mit sich bringt, welchen Einfluss dies auf vorhandene Applikati wie Entwickler oder Anwender bei Problemen Abhilfe schaffen können [1]. Anhand der Beta-Version des Service Packs 2 einen ersten Eindruck von der Umsetzung dieser Versprechungen verschafft. Paradigmen.. Mit dem Service Pack 2 verschiebt Microsoft tatsächlich den Fokus vom Komfort hin zu mehr Sicherheit. Waren die alten Sicherheitseinstellungen wenig restriktiv und ließen eigentlich alles zu, sind die zukünftigen Standardeinstellungen derart einige Programme ihren Dienst versagen können. Insbesondere die Voreinstellungen der eingebauten Windows Firewall u zur Erreichbarkeit von Diensten können hier zu Umstellungsschwierigkeiten führen. Die Änderungen und Neuerungen an der Netzwerksicherheit machen den Löwenanteil im Service Pack 2 aus. Unter ander Microsoft den Windows Nachrichtendienst, um Privatanwender beim Surfen im Internet vor lästigen Nachrichtenfenstern Meldungen zu schützen. Auch der Warndienst zur Benachrichtigung über Systemereignisse und Alarmen funktioniert auf Weise und wird deshalb ebenfalls abgeschaltet. Allerdings ist dies nicht für alle Szenarien sinnvoll, etwa in Unternehmens Nachrichten- und Warndienst immer noch zur Kommunikation einsetzen. Dort müssen die Dienste explizit wieder unter /Verwaltung/Dienste aktiviert werden...wechsel Der Windows Firewall -- ehemals Internet Connection Firewall (ICF)-- bürdet Microsoft zukünftig wesentlich mehr Aufg Standardmäßig wird sie von nun an für alle Netzwerkschnittstellen aktiviert -- bisher ist sie das nur für DF Ü-Adapter. Zud ein kleines Zeitfenster zwischen dem Aktivieren des Netzwerkstacks und dem Hochfahren der Firewall. Ein Angreifer k des Boot-Vorganges versuchen, in das noch ungeschützte System einzudringen. Die dafür eingeführte statische Boot-Tim während des Starts jedoch nur einfache Netzwerkkommunikation wie DHCP und DNS zu. Sind alle Dienste geladen, akti Firewall die konfigurierbare Run-Time-Policy.

2 Um sich vollkommen abzuschotten, können Anwender auch die strenge Einstellung "Aktiv ohne Ausnahmen" wählen. Die Änderung der Firewall-Konfiguration wirkt sich zukünftig nicht mehr nur für ein einzelnes Interface aus. Ändert der A Einstellung oder Regel, so gilt diese für alle vorhanden Schnittstellen, ebenso wie für nächträglich zum System hinzugef besteht immer noch die Möglichkeit Regeln beispielsweise nur für eine Netzwerkkarte zu setzen. Komm nicht näher! Wenn man einen Port in der Firewall öffnet, können sich bisher beliebige PCs damit verbinden. Service Pack 2 ermöglich eines Ports nur für Adressen aus dem lokalen IP-Subnetz, in dem der Rechner arbeitet. Gibt ein Anwender auf dem eigene Laufwerk oder Drucker für das Netzwerk frei, so aktiviert Windows XP automatisch die Local-Subnet-Restriction (nur lo um einen Zugriff aus fremden Netzen auf die Ports 137, 138, 139 und 445 zu verhindern. Allerdings ist dies nicht immer e inbesondere in größeren Unternehmensnetzen kommunizieren Rechner über mehrere Subnetze hinweg. Diese Einschrä einigen Applikationen Schwierigkeiten bereiten. Auch Universal-Plug-and-Play (UPnP) funktioniert dann standardmäß lokalen Netz. Alle Ports lassen sich auf Wunsch aber auch global öffnen. Datei- und Druckerefreigaben sind standardmäßig nur im lokalen Netz erreichbar. Auch Heim-Anwender deren Rechner direkt am Internet hängt, schützt die Local-Subnet-Restriction. Arbeitet der Provide Subnetz-Masken ( ), können Angreifer aus dem Internet versehentlich offene Dienste wie Dateifreigaben Die bei manchen Anbietern übliche Class-A-Maske hebelt diesen Schutz jedoch aus. Mit dem Firewall-Netsh-Helper erhalten Administratoren ein Kommandozeilen-Tool, um die XP-Firewall ohne grafische konfigurieren. Damit lassen sich Firewall-Regeln in einem Login-Skript verarbeiten. Die frühere Version unterstützte nur auch IPv4 implementiert. Leider laufen bisherige Skripte für IPv6 nicht mehr. Aufgrund der vielen hinzugekommenen Op die Redmonder das grafische Interface der Firewall überarbeitet, das nun auch direkt über die Eigenschaften der Netzwerk erreichbar ist. Will man IPv6-Verkehr filtern, muss man aber weiterhin auf den Netsh-Helper zurückgreifen. Eingeladen Um auf XP Server-Applikationen zu betreiben, müssen die benötigten Ports für eingehenden Verkehr von außen erreichba Anwendungen vor Service Pack 2 riefen dazu die Firewall-API auf, um selbsttätig Ports zu öffnen und beim Beenden wie schließen. Stürzt die Anwendung aber während des Betriebs ab, so bleibt der Port offen. Da zum Freischalten nur der loka Administrator berechtigt ist, muss die Anwendung in dessen Kontext laufen. Das ist aus Sicherheitsgründen unerwünscht, Serveranwendung nur die zum Betrieb notwendigen minimalen Rechte erhalten sollte. Mit den neuen Permission Lists/Ap Lists (Zugelassene Programme) können Server mit den Rechten eines nicht-privilegierten Anwenders laufen. Die Firewal nur dann, wenn die Serveranwendung in die Liste eingetragen ist und nur solange wie sie auf einem oder mehreren Ports a Verbindungen horcht. Das Öffnen beliebiger unbenutzter Ports durch die Applikation ist damit nicht mehr möglich.

3 Damit die Firewall Ports für Server-Anwendungen freigibt, müssen diese in der Ausnahmeliste eingetragen sein. Eine Applikation fügt man der White List durch Angabe des Pfades und Programmnamens hinzu, etwa "Programme/NetMeeting/conf.exe" für NetMeeting. Allerdings lässt sich die dahintersteckende Applikation leicht austaus wir die NeetMeeting-Originaldatei durch einen in "conf.exe" umbenannten Telnet-Server im gleichen Verzeichnis ersetzt uns von außen der Zugriff auf eine Telnet-Shell. Auf die gleiche Weise könnten Trojaner -- ohne Eintrag in die Permissio Server-Port nach außen öffnen. Da die viele Anwender aber als Administrator auf ihren Rechnern arbeiten, können sich e Trojaner diesen Umweg jedoch sparen und sich auch gleich selbst in die Liste eintragen. Um Anwendungen von außen ereichbar zu machen, trägt man ihren Programmnamen mit Verzeichnis an. NetMeeting ist global erreichbar voreingestellt. Ausgeladen Zum Schutz vor Angriffen kann sich Windows in den Shielded Mode schalten, bei dem die Firewall alle eingehenden Por nur noch ausgehende Verbindungen des Clients erlaubt. XP aktiviert diesen Modus, wenn es eine Sicherheitsverletzung b Serverdiensten entdeckt hat, um Würmer und Angreifer abzuwehren. In den normalen Modus kann XP nur durch einen m Eingriff des Anwenders zurückkehren. Um sich an verschiedene Schutzbedürfnisse anzupassen, unterstützt die Firewall unter XP Professional zukünftig zwei Ein Dömanenprofil und Mobilprofil. Beim Einsatz eines Laptops im Unternehmensnetzwerk sind beispielsweise die Anforder Sicherheit geringer, als bei der Einwahl in das Internet von unterwegs. Zwischen verschiedenen Schutzprofilen kann man wählen, wenn das Laptop Mitglied in einer Domäne ist. Computer die nur Mitglied in einer Workgroup sind, haben nur ei

4 wie mit XP Home ausgestattete Rechner. Im Zuge dieser Erweiterungen hat Microsoft auch gleich das Firewall-Objekt für Gruppenrichtlinien erweitert und verfein Administratoren in Netzwerken in die Lage zu versetzen, die Konfiguration der Firewall über Dom änencontroller zu verte Ruf mich an Mit Remote Procedure Calls (RPC) tauschen verschiedene Prozesse lokal und über das Netzwerk Daten aus. Auf gesch stellt die RPC-basierende Kommunikation bisher ein Problem dar, da zwar die Verbindung zum RPC Endpoint Mapper er (Port 135), die von ihm dynamisch zugewiesenen Server-Ports aber von der Firewall gesperrt sind. Die Firewall kann schl voraussehen, welche Ports der Mapper wählt. In der Folge funktionieren etwa Dienste wie Netzwerk- und Druckerfreigab Fernadministration der Registry und Remote Windows Management Instrumentation (WMI) nicht mehr, da der Verbindu fehlschlägt. Abhilfe würde der Eintrag des Prozesses svchost.exe in die Permission List schaffen. Da aber alle Windows andere Dienste diese Datei verwenden, würde die Firewall alle von svchost.exe angeforderten Ports automatisch öffnen, w eine ganze Reihe von Diensten eventuell ungewollt erreichbar wäre. Deshalb geht man hier einen neuen Weg: Die RPC-Dienste selbst fordern die Firewall auf, einen Port freizuschalten. Dies angeforderten Port, sofern der anfordernde Service im Sicherheitskontext des lokalen Systems, Netzwerkdienstes oder ein Dienstes arbeitet. Dabei lässt sich mit einem neuen Registry-Key PrivilegedRpcServerPermission noch einstellen, ob er im global erreichbar ist. Etwas Aufmerksamkeit ist bei der Konfiguration erforderlich, da sich einige Einstellungen widerspre Ist der Dienst in der Permission List als global verfügbar eingetragen, in der Registry aber nur "lokal", so ist der Service f Verbindungen offen. Wer da? Durch die Einführung des Registry-Schlüssels RestrictRemoteClients blockt XP mit Service Pack 2 standardmäßig die Verbindungsaufnahme eines Clients zum RPC-Server ohne vorherige Authentifizierung ab. Damit kann man die Kommun anonymen Clients verhindern. Der Registry-Key EnableAuthEpResolution auf XP-Clients erzwingt die Authentifizierung RPC-Endpoint-Mapper mit dem NLTM-Verfahren. Alle weiteren Anfrage des Clients sind damit anschließend authentisie Unternehmensnetz kann das aber unerwünscht sein, daher lässt sich die Zwangsauthentifizierung auch wieder abschalten. Einstellungen lassen sich für jedes Netzwerkinterface einzeln vornehmen. Für RPC-Clients, die mit dem Server über Nam Protocol Sequence (ncacn_np) kommunizieren, ändert sich nichts. Auch das Distributed Component Object Model (DCOM) bleibt von Eingriffen nicht verschont. DCOM ist ein auf RPC a Protokoll, mit dem verschiedene Softwarekomponenten lokal und über das Netzwerk Daten austauschen. Durch computer Restriktionen lassen sich die Zugriffsrechte von anderen Prozessen auf COM-Server sicherer definieren und kontrollieren wichtig, da COM-Server mit Prozessen auch über das Netzwerk kommunizieren können. Jeder Aufruf wird zukünftig erst Access Control List (ACL) überprüft und gegebenenfalls blockiert. Microsoft implementiert dazu eine ACL für das Starte Servern sowie eine ACL für den Zugriff. Beide Listen lassen sich über eine Microsoft Management Console (MMC) verw Standardmäßig werden lokale Aufrufe nicht eingeschränkt, auch darf jedermann ohne Authentifizierung über das Netzwer zugreifen. Um DCOM-Server über das Netz zu aktivieren und zu starten muss man allerdings auf dem Zielsystem als Adm angemeldet sein. Rundfunk Die ursprüngliche Version von XP blockierte keinen Multicast- und Broadcast-Verkehr. Seit Service Pack 1 verwirft die F standardmäßig solche Pakete. Nur durch das manuelle Öffnen eines Ports kann der Rechner beispielsweise die Antwort au Broadcast-Paket empfangen. Allerdings ist dann der Port für jeglichen Verkehr wieder erreichbar. Microsoft hat die Unter Applikationen die Uni-, Multi- und Broadcast-Verbindungen einsetzen nun in Service Pack 2 verbessert. Sendet XP etwa Netz, so öffnet die ICF drei Sekunden lang den sendenden Port für eingehende Unicast-Antwortpaket für alle Quelladress behandelt XP UDP-Verkehr, hier öffnet sich der Filter aber für 90 Sekunden. Befehlsverweigerung Die Execution Protection (NX, no execute) soll die Auswirkungen von Angriffen über Buffer Overflows, Integer Overflow

5 Overflows, Format-String-Schwächen und anderen Fehlern minimieren. Ziel solcher Angriffe ist es, eigenen Code in das einzuschleusen und auszuführen [3]. Üblicherweise überschreibt man dazu Bereiche in denen Daten abgelegt werden, etw Heaps, mit Code und springt ihn durch Manipulation des Instruction Pointers an. NX verhindert das Ausführen von Code, Datenbereichen abgelegt ist, sofern die als "nicht ausführbar" gekennzeichnet sind. Ein Angriff des Wurms Lovsan/MSBl dieser Funktion auf Windows XP allenfalls den RPC-Dienst zum Absturz gebracht -- den Rechner hätte er nicht infizieren ist standardmäßig aktiviert und markiert Datenbereiche wie Stacks und Heaps als nicht -ausführbar. Um Execution Protection zu implementieren, greift Microsoft auf die Fähigkeiten moderner 64-Bit-Prozesoren zurück, di zur NX-Kennzeichnung von Speicherbereichen mitbringen. Derzeit stehen dafür der Athlon64 von AMD und der Itanium Verfügung. Bislang kann nur der Athlon64 mit dem 32-bittigen Windows XP zuammenarbeiten und dies auch nur im PAE (Physical Address Extension). Einige Treiber könnten hier zukünftig ihren Dienst versagen, da PAE einen 64-Bit-Adressr den 32-Bit-Adapter nicht adressieren können. Microsoft hat deshalb auch den Hardware Abstraction Layer (HAL) und de Manager modifiziert, um weitestgehende Kompatibilität zu älteren 32-Bit-Treibern zu erhalten. Ruft eine Applikation eine als NX markierte Speicherseite auf, löst der Prozessor eine Exception (STATUS_ACCESS- User Mode) aus, die in den meisten Fällen unbehandelt bleibt und zur Terminierung des auslösenden Prozesses führt. Gre auf einen geschützten Speicherbereich zu, stürzt Windows ab (ATTEMPTED_EXECUTE_OF_NONEXECUTE_MEMO schützt Execution Protection den Kernel Mode im 32-Bit-Windows-XP nur halb: Einzig der Stack wird als NX markiert. A 64-Bit-Windows-XP: Außer dem Stack sind auch die Heaps geschützt. Einige Applikationen, die etwa zur Laufzeit neuen Programmcode generieren und ausführen wollen, dürften nach der Inst Service Packs nicht mehr funktionieren. Über spezielle Funktionen können neue Anwendungen ausführbaren Speicher an Programme müssen dazu überarbeitet werden. In den Schutz von NX kommen bis auf weiteres nur Besitzer aktueller 64-Bit-CPUs. Damit hat Microsoft den Abstand zu zwar verkürzt -- aber noch nicht ganz aufgeholt. OpenBSD und Linux mit der Erweiterung PaX bieten ähnliche Schutzme bereits auf gewöhnlichen x86-systemen [4]. Literatur [1] Changes to Functionality in Service Pack 2 for Microsoft Windows XP [2] Deploying Internet Connection Firewall Settings for Windows XP with Service Pack 2 [3] Buffer-Overflows und andere Sollbruchstellen [4] Speicherschutz mit PaX Vergitterte Fenster, Teil 2 Neue Sicherheitsfunktionen in Windows XP mit Service Pack 2 Teil 1 des Artikels beschäftigte sich mit der Netzwerksicherheit, den neuen Funktionen der Windows Firewall und vor Buffer Overflows. Der zweite Teil beleuchtet die Verbesserungen bei Internet Explorer, Outlook Express und P Management. Eins der Sorgenkinder in Windows ist immer noch der Internet Explorer. Hier geht es mit Service Pack 2 richtig ans Eing Add-on-Management hat nun eine grafische Oberfläche spendiert bekommen. Dem stellt man eine Crash Detection zu Fe Abstürzen des Browsers zur Seite. Mit Add-ons lässt sich der Browser um neue Funktionen erweitern. Dies können sowoh Controls als auch Toolbars, Browsererweiterungen und Browser Helper Objects sein, etwa das Acrobat-Plug-in zum Lese Dokumenten. Viele Webserver bieten solche Zusätze bereits beim Besuch einer Seite an. Mit dem neuen Management k diese vom Internet Explorer nachladbaren Plug-ins besser kontrollieren, sowie deaktivieren und deinstallieren. Darüberhin

6 Management Add-ons an, etwa Ad- und Spyware, die sich bisher nur durch Einträge in der Registry verraten haben und u das Surfverhalten des Benutzers ausspähen. Die Add-on-Crash-Detection soll beim Absturz des Internet Explorers das verantwortliche Plug-in ausfindig machen. Anh der geladenen Erweiterungen und dem Wert des Instruction Pointers zum Zeitpunkt des Crash identifiziert die Detection d fehlerträchtige Datei und zu welchem Add-on sie gehört. In einem Dialog kann der Anwender dann die Erweiterung deak weitere Abstürze zu verhindern. Benimmregeln Mit Service Pack 2 taucht in den Einstellungen des Internet Explorers auch erstmals der bislang wenig bekannte Begriff "Binärdateien" (Binary Behaviors) auf. Sie sind eine schnelle Alternative zu Skripten und kommunizieren als COM-Kom dem Browser, um bestimmte Aufgaben zu erfüllen. Anders als Skripte laufen sie bisher in keiner Zone des Internet Explo unterliegen auch keinen Restriktionen, obwohl sie Zugriff auf das System im Kontext des angemeldeten Benutzers haben. kann der Anwender diese Binärdateien für jede Sicherheitszone aktivieren oder deaktivieren. Binärdateien lassen sich für jede Zone einzeln konfigurieren Damit ActiveX-Controls gegebenenfalls von anderen Webseiten mitbenutzt werden können, sind sie seit langem als "safe und "safe for initialization" markierbar. Zudem konnte der Anwender für bestimmte Zonen ActiveX zulassen oder sperren funktionierte dieses Model auf Basis der aufgerufenen URL und der zugeordneten Zone nicht immer zuverlässig. Eine Re Angriffsarten nutzt diese Schwäche bereits aus. Microsoft hat das ActiveX-Sicherheitsmodell renoviert, sodass ein Objekt eindeutig einer URL zugeordnet ist. Versucht eine Webseite ein neues ActiveX-Control in den Browser zu laden, so informiert ein Dialog den Anwender, ü des "Publishers" des Controls und fragt ob es installiert werden soll. Auch wenn man dem nicht zustimmt, erscheint der D Besuch der Seite aufs neue. Bislang bietet der Dialog nur die Option, einem Publisher immer zu vertrauen. Dem fügt man hinzu, einem Publisher immer zu mißtrauen. Ist sie aktiviert, blockiert der Internet Explorer dessen Controls ohne weitere Selbst wenn man die Webseite nicht verlässt, aber den ActiveX-Control-Dialog verneint, sind manche Webseiten hartn immer wieder das selbe Control an. Unter Umständen kann das den Anwender dazu verleiten, doch "OK" zu klicken, um herauszukommen. Mit Service Pack 2 ist nur noch eine einzige Nachfrage pro Control und Seite zugelassen. Mit dem neu RunInvalidSignatures unterbindet der Internet Explorer standardmäßig die Installation von Controls mit fehlerhaften oder digitalen Signaturen. Auch wenn Microsoft die Java Virtual Machine (JVM) eigentlich nicht mehr mit neueren Service Packs ausliefert, fügt Se eine Funktion hinzu, um sie explizit abzuschalten. Anwender die die JVM noch installiert haben, können sie nun explizit d Bisher gibt es im Internet Explorer nur die Option "Java deaktivieren", die aber auch die installierten JVMs anderer Herst Gefahrenzone Das Zonenmodell des Internet Explorer definiert, welche Webseite welche Aktionen durchführen darf. Beispielsweise kan Internet aufgerufene Webseite nicht auf die Festplatte zugreifen. Auf dem PC gespeicherte HTML-Seiten öffnet der Brow "Local Machine", für die keine Sicherheitseinstellungen definiert sind. Diese Zone ist keine echte Zone im Internet Explo die Registry konfigurierbar. Durch Tricks versuchen Angreifer, Skripte in dieser Zone auszuführen, um ihre Rechte auf de auszubauen. Um dem entgegenzuwirken, gelten fortan echte Sicherheitseinstellungen für die Zone "Local Machine" (Zon behauptet zwar, dass die Einstellungen dafür strenger als die der "Internet Zone" seien, vergleicht man aber die Registry

7 beider Zonen, so kommt man zu einem anderen Ergebnis: Zumindest in der Beta-Version ist alles ist auf "Erlauben" oder Ohnehin ist das unerlaubte Wechseln in die lokale Sicherheitszone die am meisten ausgenutzte Schwachstelle im Internet Zone Elevation Blocking will Microsoft verhindern, dass eine Seite oder ein Link in einer Zone mit mehr Rechten ausgef denn der Anwender erlaubt das. Objekte oder Elemente einer Seite, die der Browser in der "Internet Zone" ausführt, kö Microsoft nie in die Zone "Lokales Intranet" wechseln. Bei der Übertragung einer Datei vom Server zum Client können falsche Typinformation übertragen werden. So erkennt de Explorer etwa eine Datei anhand ihres MIME-Typs als.php-datei, in Wirklichkeit handelt es sich aber um eine.hta -Datei Herunterladen gestartet wird. Obwohl die Angaben der Datei-Erweiterung und des MIME-Typs, respektive Content-Typs Headers unterschiedlich sind, meldet der Browser keinen Fehler. Mit obigem Beispiel php/hta-beispiel haben bereits einig Dialer und Trojaner auf Client-PCs installiert. Davor will Microsoft Windows XP nun schützen, indem der Internet Explo Informationen miteinander vergleicht: Dateiendung, Content Type, Content Disposition und das Ergebnis eines MIME- MIME-Sniff versucht den Inhalt der Datei anhand von Mustern zu erkennen. Stimmt ein Wert nicht mit den anderen über der Internet Explorer die Datei um und legt sie im Cache ab, ohne sie mit einer Applikation zu öffnen. Welchen Namen di geht aus der Dokumentation nicht hervor. Despotisch Gedanken hat sich Microsoft auch um die nervigen Pop-Up-Fenster (window.createpopup) gemacht, die einige Webseiten öffnen. Gemeint sind hier nicht die Fenster des Windows-Nachrichtendienstes, sondern mit Werbung und Spam gefüllte B Fenster. Mit dem Pop-up-Manager können Anwender das Öffnen dieser Plagegeister unterdrücken, allerdings nur für Web Internet-Zone und "eingeschränkte Sites". Versucht eine blockierte Seite ein Fenster zu öffnen, so alarmiert der Pop-up Anwender mit einem Hinweis und einem Warnton. Der Besuch einiger Webseiten könnte demnächst also ziemlich gerä Glücklicherweise kann man aber den Warnton wieder abstellen. Darüberhinaus ändert sich das Verhalten der Pop-up-Fen Lage und Größe, um zu verhindern, dass diese Teile des Hauptfensters verdecken und ungest örtes Surfen unmöglich mach es auch nicht mehr möglich, mit sogenannten Chromeless Windows -- Frames ohne Rahmen und Statusleisten -- Dialogbo der Windows-GUI zu simulieren. Durch den geschickten Aufbau solcher Fenster war es möglich, beispielsweise den Log täuschend echt zu simulieren. Dahinter steckte aber ein skriptgesteuertes Pop-up, das eingegebene Namen und Passwörter Rechner ins Internet schickte. Der Pop-up-Blocker unterdrückt die nervigen Werbefenster. Um die Herkunft einer Seite zu verschleiern, versuchen einige Websites den Blick auf Adress- und Statusleisten eines neu versperren, indem sie Teile des neuer Browser-Frames außerhalb des sichtbaren Bildschirmes platzieren. Zukünftig könne window.open()-funktion nicht mehr beliebige Parameter zum Öffnen und Platzieren neuer Fenster übergeben. Standardm solche Fenster zusätzlich immer mit Statusleiste geöffnet. Aus Sicherheitsgründen ist der Zugriff von Objekten einer DNS-Domäne auf Objekte einer anderen Domäne verboten. Da verhindern, dass ein Skript eines Browserfensters auf die Inhalte eines anderen Browserfensters zugreifen kann, um etwa auszulesen. Durch Implementierungsfehler gilt diese Einschränkung aber nicht vollständig für Objekte, die im Cache abge neue Schlüssel FEATURE_OBJECT_CACHING blockiert den Zugriff von Skripten auf Objekte im Cache. Die geschieh davon, ob Skript und Objekt von derselben URL stammen. Beim Aufruf einer neuen URL löscht der Browser alle Referen Sicher mailen

8 Mit einigen Änderungen wollen die Redmonder auch Outlook Express zu mehr Sicherheit verhelfen. Inbesondere die Beh HTML-Mails stieß in der Vergangenheit immer wieder auf Kritik. Unter anderem können in solchen Mails Bilder und and eingebettet sein, die Outlook beim Ansehen oder Öffnen aus dem Internet nachlädt. Das ist unter -Spammern eine v Methode, um herauszufinden, ob ein -Konto gültig ist. Des Weiteren ist es für Anwender mit einer Wählverbindun eine Mail eine Verbindung öffnen will, nur um Bilder nachzuladen. Dafür wurde Outlook Express nun mit einer Option a der Anwender das Nachladen von externen Inhalten sperren können -- eine Option die andere Mailer schon lange anbieten Etwas Verwirrung stiftet die Beschreibung der Funktion zur Darstellung von HTML-Mails als reinen Text (Plain Text). D ist eigentlich in Outlook Express schon vorhanden, um unter anderem das Ausführen versteckter Skripte in Mails zu verhi Dokument soll aber nun ein neues Rich Edit Control HTML-Mails als Text anzeigen. Ein Unterschied in der Darstellung festzustellen. Allerdings kann man nun bei Ansicht einer Mail im Nur-Text-Mode mit der Option "Nachricht als HTML" wieder die HTML-Darstellung umschalten. Trotz Nur-Text-Anzeige kann man schnell eine Mail wieder als HTML-Dokument anz Ein neues API -- Attachment Execution Service (AES) -- soll zudem Funktionen fü applikationsunabhängige, einheitliche Sicherheitschecks von Mail-Anhängen bieten. Damit Anwendungen davon Gebrauc müssen die Entwickler die Produkte allerdings anpassen. Pflegedienst Eine verbesserte Computerwartung soll den Administrator größerer Netze in die Lage versetzen, den Überblick über aktue Sicherheitsupdates zu behalten. Dabei soll unter anderem ein neuer Windows Installer 3.0 mit Patch Management Suppor auch Microsofts Software Update Services (SUS) unterstützt. Dadurch lassen sich die Abhängigkeiten einzelner Produkte verschiedenen Patches leichter auflösen, beispielsweise beim Internet Explorer, bei dem in kumulativen Patches mehrere enthalten sein können. Sogar die Reihenfolge der Installation mehrerer Updates ist konfigurierbar. Allerdings müssen App dem Windows Installer installiert worden sein, um die neuen Funktionen nutzen zu können. Bisher ersetzen Patches immer nur ganze Dateien. Zukünftig sollen Patches kleiner und zuverlässiger werden, sofern die H mit dem Installer erstellen. Durch Differenz-Kompression enthält ein Patch nur die notwendigen Änderungen und nicht de Code. Nach dem Entfernen eines Patches stellt der Windows Installer sogar den alten Zustand her, indem er eventuell ä einfach wiedereinspielt. Ob Privatanwender ebenfalls von den neuen Möglichkeiten profitieren, hängt davon ab, wie Hers ihre Patches erstellen. Bisher sind mit dem Installer erstellte Patches im Consumer-Bereich eher selten. Stattdessen müsse Patches als EXE-Dateien einspielen, die meist einfach eine Datei ersetzen. Die De-Installation ist damit kaum möglich. A müssen also darauf hoffen, dass die Hersteller die neuen Funktionen aufgreifen. Was guckst Du? Zweifelsohne fügt Service Pack 2 in Windows XP eine Reihe neuer und verbesserter Sicherheitsfunktionen ein. Insbesond Netzwerksicherheit, die aufgemotzte Windows Firewall und die Execution Protection machen Windows widerstandsfähig Angriffe aus dem Netz. Hätten diese Funktionen schon früher zu Verfügung gestanden, wären einige Internetwürmer nie z traurigen Berühmtheit gelangt. An anderer Stelle doktort Microsoft aber nur an Symptomen herum. Am Internet Explorer Zonenmodell schraubt man solange, bis aktuelle bekannte Exploits nicht mehr funktionieren. Skripting-Funktionen zum Fenstern bändigt man mit neuen Restriktionen. Statt alte Konzepte über Bord zu werfen, wird der Browser mit weiteren F komplexer -- und damit fehleranfälliger. Was geht? Service Pack 2 greift sehr tief in Windows XP ein, teilweise so tief, dass einige Applikationen nicht mehr funktionieren. B muss der Anwender -- wenn er denn weiß wie es geht -- die neuen Standardeinstellungen manuell wieder zurückdrehen. A haben hier mit Gruppenrichtlinien leichteres Spiel. Andere Applikationen können ihren Dienst unter Umständen gänzlich Microsoft weist Entwickler schon jetzt darauf hin, welche neuen Programmier-APIs zukünftig zu benutzen sind, damit all Anwendungen reibungslos funktionieren. Ohnehin gibt es noch keine Applikation, die mit den neuenn Sicherheitsfunktion kann. Dass mit Erscheinen des Service Pack 2 die Hersteller mit SP2-Ready-Produkten aufwarten können oder Patches zu

9 stellen, ist unwahrscheinlich. (dab) Literatur [1] Vergitterte Fenster, Teil 1 [2] Changes to Functionality in Service Pack 2 for Microsoft WIndows XP [3] Deploying Internet Connection Firewall Settings for Windows XP with Service Pack 2 [4] Buffer-Overflows und andere Sollbruchstellen" c't 16/2004, S. 92: Windows XP Service Pack 2 Das zweite Service Pack für Windows XP Kaum einem Update ist in der Software-Geschichte so viel Aufmerksamkeit zuteil geworden wie dem Service Pack Windows XP (SP2). Kein Wunder, soll es Windows doch nicht nur sicherer machen, sondern gleich zu einer Art X Edition aufbohren. c't zeigt, was sich ändert und was man noch selbst ändern muss. Die letzten Monate waren für Microsoft eine bittere Zeit: Sicherheitslücken in Windows wurden teilweise im Tagesrhythm und oft auch gleich von Schädlingsprogrammen ausgenutzt. Und die Nachrichten über Sasser, Blaster und Co. verbreitete in der einschlägigen Fachpresse, sondern auch Fernseh- und Rundfunknachrichten sowie die Boulevardpresse berichteten trugen die Nachricht vom unsicheren Windows in alle Welt. Prompt wechselten Privatanwender ebenso wie Firmen und B reihenweise zur Konkurrenz: Wer nicht gleich komplett auf Linux umstieg, nutzte zumindest alternative Browser und Ma Der dadurch aufgebaute Druck auf Microsoft bewirkte Erstaunliches: Der Softwareriese, der sich in der Vergangenheit vo Kundenwünschen üblicherweise recht unbeeindruckt zeigte, kam in Bewegung. Bill Gates persönlich versprach, dass Win werden solle, ja, dieses Ziel sollte gar die höchste Priorität erhalten. Doch gilt da schon die erste Einschränkung, denn wen Windows sagt, ist stets nur die aktuelle Version gemeint, sprich Windows XP. Wer noch ältere Versionen einsetzt, gilt off Kunde zweiter Klasse. Für Windows XP aber wollte Microsoft ein neues Service Pack basteln, welches sich von allen bisherigen unterscheiden s Vergangenheit enthielten solche Pakete stets nur Updates und Patches, doch das SP2 bricht mit der Tradition und bringt z Funktionen: eine verbesserte Personal Firewall spendiert der Softwareriese, einen Popup-Blocker, einen Add-on-Manager Speicherschutzfunktionen und noch einiges mehr. Und weil alles so richtig gut werden sollte, nannte der Softwareriese erst mal keinen konkreten Erscheinungstermin für da hielt es so ähnlich wie die Programmierer des seit Jahren angekündigten Spiels Duke Nukem Forever, die auf die Termi lässig when it s done entgegnen. Das führte dazu, dass die einschlägigen Gerüchteküchen in den letzten Monaten richtig hatten: Immer neue Termine wurden genannt und verworfen. Bis heute ist unklar, wann das SP2 fertig ist. Mittlerweile ha zwar auf den August als Termin festgelegt, doch auch das scheint nicht sicher, denn die deutsche Presseabteilung beschr auf die Aussage kommt im Sommer. Bis Redaktionsschluss scheint ein Termin in der dritten oder vierten August-Woch wahrscheinlichsten zu sein, doch es ist ebenso möglich, dass das SP2 bei Erscheinen dieser c't bereits zum Download bere Die Frage, ob man sofort nach Erscheinen das SP2 installieren sollte, lässt sich leider nicht pauschal beantworten. Hilfe be einer Antwort leisten die Artikel in diesem Heft, die auf dem Release Candidate 2 des SP2 basieren, erschienen am 15. Ju zwar mit der finalen Version des SP2 nicht hundertprozentig übereinstimmen, doch werden die letzten Änderungen nur B und die Oberfläche kaum noch betreffen. Das Folgende zeigt, wie sich das SP2 installieren lässt und was sich danach grundlegend am System geändert hat. Die nac Artikel gehen der Frage nach, ob Microsoft das Versprechen eines sichereren Windows tatsächlich eingehalten hat, und ze Tricks zum Umgang mit den neuen Sicherheitsfunktionen. Der letzte Artikel befasst sich mit neuen Speicherschutzmecha

10 Voraussetzungen es gibt und wie man mögliche Klippen umschifft. Auf die Platte,... Für die Installation des SP2 ist es egal, auf welchem Stand Windows XP ist: Ob XP Home oder Professional, ob Service P installiert ist oder noch nicht, das SP2 hat stets alles Nötige dabei. Es aktualisiert auch die Versionen Windows XP Tablet Kasten auf S. 95) und XP Media Center Edition (MCE). Für die deutsche Version der MCE 2004 bringt das SP2 allerding wichtigen Neuerungen. Die erste MCE-Auflage (MCE 2002) hebt es jedoch auf den aktuellen Stand des MCE 2004, inklu überarbeiteter Bedienoberfläche und Zusatzfunktionen wie dem in die Bedienoberfl äche integrierten Grabben und Konver Audio-CDs. Mehr zur aktuellen MCE 2004 steht in [1]. Während der Installation baut das SP2 Windows XP radikal um. Da bei solchen umwälzenden Änderungen natürlich imm gehen kann, empfiehlt es sich dringend, zuvor ein Abbild der Systempartition (Image) zu erstellen [2]. Anschließend kann losgehen. Die Installation selbst verläuft wie die der Vorgänger: EULA abnicken, entscheiden, ob das Setup die zu ersetzenden Date soll, und der Rest passiert dann ohne weitere Handgriffe. Das Archivieren erlaubt es, das SP2 später wieder zu deinstallier unseren Tests auch problemlos klappte. Sollten aber bei Ihnen Probleme auftreten, die den Start von Windows verhindern unseren Tests nicht vorkam), nutzen die archivierten Daten nichts. Dann hilft nur noch das hoffentlich zuvor erstellte Ima erstellt hat, kann sich das Archivieren sparen. Wer das SP2 nicht nachträglich installieren möchte, sondern in einem Rutsch zusammen mit einem frischen Windows, ka passende Setup-CD basteln. Wie das geht, steht im Kasten auf Seite 96. In einigen Fällen scheitert die Installation, denn Microsoft hat einen vom Service Pack 1 bekannten Schutzmechanismus a wieder eingebaut: Die Sperre besteht in einem Abgleich des CD-Schlüssels, der bei der Installation von XP eingesetzt wu Liste von Schlüsseln, die als geklaut gelten. Steht der Installationsschlüssel in der Liste, verweigert das Setup die Arbeit. B Pack 1 bestand die schwarze Liste aus gerade mal zwei Schlüsseln, beim Nachfolger ist sie deutlich länger. Eigentlich soll diese Sperre Raubkopierer behindern, doch haben die über diesen Schutzmechanismus bislang allenfalls l Zwar hat ihn bislang niemand geknackt, doch war das auch gar nicht nötig, denn es kursieren diverse Key-Generatoren im beliebig viele frisch erzeugte Schlüssel ausspucken, die natürlich ebenso illegal, aber eben nicht in der schwarzen Liste en Microsoft war sogar so freundlich und stellte ein Skript zur Verfügung, um einen Schlüssel bei Bedarf bequem gegen eine auszutauschen [3]. Microsoft könnte zwar den Schlüssel beim Aktivieren des frisch installierten XP überprüfen, doch war Schutzmechanismus schon kurz nach Erscheinen von XP ausgehebelt [4]. Damit kann also jeder Raubkopierer, der ein we scheut, Windows XP mitsamt Service Pack 2 installieren. (axv) Den vollständigen Artikel finden Sie in der aktuellen Printausgabe. Literatur [1] Sven Hansen, Multimedia im Griff, Drei Media-Center-Konzepte im Vergleich, c't 2/04, S. 88 [2] Axel Vahldiek, Karsten Violka, Perfektes Abbild, Imaging-Software im Vergleich, c't 23/03, S. 130 [3] Axel Vahldiek, Offener Notausgang, Microsoft unterläuft eigenen Schutz vor Raubkopierern, c't 21/02, S. 29 [4] Peter Siering, Ein Windows für alle, Windows XP final: Was es bietet, c't 20/01, S. 110