The Cable Guy - Januar 2004
Die neuen Netzwerkfeatures von Service Pack 2 für Microsoft Windows XP
Welche Neuerungen das Service Pack 2 (SP2) für Windows XP im Bereich der Netzwerkfunktionen mit sich bringt, erklärt der Cable Guy in dieser Ausgabe seiner Kolumne. Das SP2 wird voraussichtlich im Sommer 2004 veröffentlicht. Neben Verbesserungen der Internetverbindungsfirewall enthält es die Wireless Provisioning Services (WPS), eine Peer-to-Peer-Netzwerkkomponente sowie verschiedene Erweiterungen für das Internet Protocol version 6 (IPv6).
DownloadArtikel im Word-Format
Artikel im PDF-Format
|
Auf dieser Seite
Service Pack 2 (SP2) für Windows XP befindet sich im Moment im Betatest - es wird Ihnen die folgenden neuen Netzwerkfeatures zur Verfügung stellen:
| • | Erweiterungen der Internetverbindungsfirewall |
| • | Wireless Provisioning Services |
| • | Windows Peer-to-Peer-Netzwerkdienste |
| • | IPv6-Update |
Erweiterungen der Internetverbindungsfirewall
Windows XP Service Pack 2 (SP2) erweitert die Internetverbindungsfirewall (Internet Connection Firewall - ICF). Die ICF unterdrückt den gesamten Netzwerkverkehr, der nicht auf eine Anfrage eines Computers hin zustande kommt oder als erwünscht konfiguriert wurde. Sie schützt so vor böswilligen Benutzern und Programmen, die einen Angriff auf einen Computer durchführen könnten.
Unter Windows XP (vor SP2) ist die ICF standardmäßig für alle Verbindungen deaktiviert - und zwar so lange, bis Sie den Netzwerkassistenten ausführen oder die ICF-Konfiguration manuell ändern. Die manuelle Aktivierung wird über ein einzelnes Kontrollkästchen unter der Registerkarte Erweitert durchgeführt. Sie muss für jede Verbindung einzeln konfiguriert werden. Auch die Ausnahmen für TCP- und UDP-Ports werden über diese Registerkarte konfiguriert.
Das Service Pack 2 für Windows XP bringt die folgenden Änderungen:
| • | Die ICF ist standardmäßig für alle Verbindungen des Computers aktiviert. |
| • | Neue und globale Konfigurationsoptionen, die für alle Verbindungen gelten |
| • | Neue Konfigurationsdialoge für die lokale Konfiguration |
| • | Neuer "Shielded-Mode" |
| • | Sicherheit während des Startvorgangs |
| • | Beschränkung auf das lokale Subnetz |
| • | Ausnahmen können über die Dateinamen von Anwendungen definiert werden. |
| • | Die ICF unterstützt IPv6 |
| • | Neue Konfigurationsmöglichkeiten über Netsh und Gruppenrichtlinien |
Die ICF ist standardmäßig für alle Verbindungen des Computers aktiviert
Alle Verbindungen eines Computers (LAN-, WLAN-, Einwahl- und VPN-Verbindungen) werden standardmäßig von der ICF geschützt. Auch für alle neuen Verbindungen wird die ICF automatisch aktiviert.
Dieses Verhalten schützt Windows XP-basierte Computer deutlich besser. Es kann jedoch im Bezug auf die Anwendungskompatibilität und die Computerverwaltung tief greifende Konsequenzen für die IT-Verantwortlichen einer Organisation haben.
Weitere Informationen zur Bereitstellung der ICF unter Windows XP SP2 in einer Unternehmensumgebung finden Sie unter Deploying Internet Connection Firewall Settings for Microsoft Windows XP with Service Pack 2 (englischsprachig).
Neue globale Konfigurationsoptionen, die sich auf alle Verbindungen auswirken
Unter Windows XP SP2 haben Sie die Möglichkeit globale Einstellungen für die ICF zu konfigurieren. Diese gelten für alle Verbindungen des Computers. Im Gegensatz hierzu mussten vor SP2 die Einstellungen jeder Verbindung getrennt konfiguriert werden. Wenn Sie eine globale Einstellung ändern, wird diese für alle Verbindungen mit aktivierter ICF durchgesetzt.
Eine Konfiguration pro Verbindung ist natürlich weiterhin möglich. Solche verbindungsspezifischen Konfigurationen überschreiben dann die globale Konfiguration.
Neue Konfigurationsdialoge
Die Konfigurationsmöglichkeiten der ICF bestanden bis jetzt nur aus einem einzelnen Kontrollkästchen (Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer von Internet eingeschränkt oder verhindert wird) und einem Schalter (Einstellungen), über den Sie Ausnahmen für den blockierten Netzwerkverkehr, Protokolleinstellungen und den zugelassenen ICMP-Verkehr konfigurieren konnten. Beide waren unter der Registerkarte Erweitert in den Verbindungseigenschaften zu finden.
Mit SP2 wird dieses Kontrollkästchen durch einen Schalter Einstellungen ersetzt. Über diesen können Sie allgemeine Einstellungen, Berechtigungen für Programme und Dienste, verbindungsspezifische Einstellungen, Protokolleinstellungen und den zugelassenen ICMP-Verkehr konfigurieren. Die gleiche Konfiguration ist nur über das Symbol Internetverbindungsfirewall in der Systemsteuerung möglich.
In der folgenden Abbildung sehen Sie das neue Konfigurationsfenster der Internetverbindungsfirewall.
Shielded-Mode
Bisher war die ICF entweder aktiviert (zugelassener Verkehr und von innen angestoßener Verkehr waren erlaubt) oder deaktiviert (der gesamte Verkehr war erlaubt).
Mit SP2 können Sie nun einen neuen Betriebsmodus verwenden - den Shielded-Mode (Einstellung On with no exceptions unter der Registerkarte Allgemein). In diesem Shielded-Mode werden der gesamte unverlangt eingehende Netzwerkverkehr inklusive dem zugelassen Netzwerkverkehr blockiert. Er kann zur temporären Sicherung des Computers - zum Beispiel während eines Netzwerkangriffs - verwendet werden. Nachdem der Angriff vorüber ist und die entsprechenden Updates zur Verhinderung weitere Angriffe installiert sind, kann die ICF in den normalen Modus zurückgeschaltet werden (Option On - recommended). Damit wird der zugelassene Netzwerkverkehr nicht mehr blockiert.
Sicherheit während des Startvorgangs
Bis jetzt schützt die ICF alle Verbindungen, für die sie aktiviert wurde - und zwar sobald der Dienst Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung erfolgreich gestartet wurde. Daher kommt es zu einer Verzögerung zwischen dem ersten Zugriff des Computers auf das Netzwerk und dem Schutz durch die ICF. In diesem Zeitraum (während des Systemstarts) kann der Computer angegriffen werden.
Mit SP2 gibt es nun eine Startrichtlinie, die eine Paketfilterung durchführt. Dieses ermöglicht es dem Computer, während des Systemstarts grundlegende Netzwerkaufgaben durchzuführen (zum Beispiel die Verwendung von DHCP und DNS und die Kommunikation mit einem Domänencontroller zur Abfrage der Gruppenrichtlinien). Sobald der ICF-Dienst dann gestartet ist, wird dessen Konfiguration verwendet. Die Einstellungen der Startrichtlinie können allerdings nicht konfiguriert werden; wenn die ICF deaktiviert ist, gibt es auch keine Startrichtlinie.
Beschränkung auf das lokale Subnetz
Bis jetzt kann der zugelassene Netzwerkverkehr von jeder IP-Adresse aus gesendet werden. Mit SP2 können Sie nun festlegen, dass der zugelassene Netzwerkverkehr von jeder Adresse oder nur von einer Adresse des lokalen Subnetzes kommen darf.
In einem Heimnetzwerk können Sie mit diesem Feature zum Beispiel anderen Computern des lokalen Netzwerkes den Zugriff auf einen Dienst ermöglichen, diesen Dienst für alle Internetbenutzer jedoch sperren.
Ausnahmen können über die Dateinamen von Anwendungen definiert werden
Bis jetzt konnten Sie Ausnahmen nur über TCP- oder UDP-Ports definieren. Wenn die von einer Anwendung genutzten Ports nicht bekannt waren, war diese Konfiguration problematisch oder unmöglich. Anwendungen, die nicht über einen bestimmten Satz von UDP- oder TCP-Port arbeiten, konnten so gar nicht konfiguriert werden.
Um die Konfiguration zu vereinfachen, ist es jetzt möglich den Dateinamen der Anwendung zu verwenden. Wenn die Anwendung ausgeführt wird, überwacht die ICF die Ports, die diese Anwendung abfragt und fügt diese Ports automatisch der Ausnahmenliste hinzu.
Um Ihnen eine schnelle Konfiguration der Ausnahmenliste zu ermöglichen, verfügt die ICF nun für die häufig verwendeten Windows-Komponenten und -Dienste über vorkonfigurierte Listen (zum Beispiel Datei- oder Druckerfreigabe oder Windows Messenger).
Unterstützung von IPv6
Die ICF unterstützt mit SP2 nun auch die Version 6 des Internet Protokolls (IPv6). Die gleiche Funktionalität stellt auch das erweiterte Netzwerkpaket für Windows XP zur Verfügung (unter http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=E88CC382-8CE6-4739-97C0-1A52A6F005E4). Sie können die IPv6-ICF für die Option Software und Windows-Komponenten hinzufügen/entfernen in der Systemsteuerung installieren. Nach der Installation ist die IPv6-ICF automatisch für alle IPv6-Verbindungen aktiv. Sie wird über die Befehle im Netsh-Kontext firewall ipv6 konfiguriert.
Neue Konfigurationsoptionen über Netsh und Gruppenrichtlinien
Bis jetzt waren der Ordner Netzwerkverbindungen, der Netzwerkassistent und der Verbindungsassistent die einzigen Möglichkeiten zur Aktivierung oder Deaktivierung der ICF. Zur Konfiguration der Ausnahmen mussten Sie die Verbindungseigenschaften verwenden, oder die Anwendung musste die Konfiguration selbst vornehmen.
Unter Windows XP SP2 haben Sie nun die folgenden zusätzlichen Konfigurationsmöglichkeiten:
| • | Netsh-Befehle |
| • | Neue Konfigurations-APIs |
| • | Gruppenrichtlinien |
Über die ICP-Gruppenrichtlinieneinstellungen können Sie zwei Profile konfigurieren:
| • | Domänenprofil |
| • | Mobiles Profil |
In der folgenden Abbildung sehen Sie die neuen Gruppenrichtlinieneinstellungen für die ICF.
Weitere Informationen hierzu finden Sie im Dokument Deploying Internet Connection Firewall Settings for Microsoft Windows XP with Service Pack 2 (englischsprachig).
Wireless Provisioning Services
Die Wireless Provisioning Services (WPS) sind nicht nur im Windows XP SP2 enthalten, sondern werden voraussichtlich auch im Windows Server 2003 Service Pack 1 (SP1) aufgenommen. Die WPS erweitern den WLAN-Client von Windows XP und den Internet Authentication Service (IAS) von Windows Server 2003. Dadurch ermöglichen sie einen konsistenten und automatischen Konfigurationsprozess in den folgenden Szenarien:
| • | Öffentliche WLAN-Zugangspunkte, die einen Zugriff auf das Internet zur Verfügung stellen |
| • | WLANs privater Organisationen, die einen Gastzugriff auf das Internet zur Verfügung stellen |
Wenn sich ein WLAN-Client mit einem öffentlichen Zugangspunkt verbindet und noch kein Kunde des entsprechenden Providers (WISP) ist, müssen folgende Aktionen durchgeführt werden:
| • | Konfiguration der für das WISP-Netzwerk notwendigen Netzwerkeinstellung |
| • | Abfragen der Identität und der Zahlungsinformationen des WISPs |
| • | Abrufen der Anmeldeinformationen |
| • | Erneutes Verbinden mit dem WISP-Netzwerk mit Hilfe der gerade erhaltenen Anmeldeinformationen |
WPS vereinfacht, automatisiert und standardisiert die Erstanmeldung und Abonnementerneuerung.
Weitere Informationen zu WPS finden Sie im Cable Guy-Artikel aus Dezember 2003 Wireless Provisioning Services - Übersicht.
Windows Peer-to-Peer-Netzwerkdienste
Peer-to-Peer-Netzwerkdienste nutzen die relativ leistungsfähigen PCs mit einer Internetverbindung für mehr als die einfachen Aufgaben eines Clientcomputers. Ein moderner PC verfügt über einen ziemlich schnellen Prozessor, viel Speicher und eine große Festplatte. Keine dieser Komponenten wird im normalen Client/Server-Betrieb (zum Beispiel E-Mails oder Browsen im Web) voll ausgelastet. Bei vielen Anwendungen kann ein solcher PC ohne Probleme als Client und Server (also als Peer) arbeiten.
Gegenüber normalen Client/Server-Anwendungen bieten Ihnen Peer-to-Peer-Anwendungen eine Menge Vorteile:
| • | Inhalte und Ressourcen können von allen Geräten im Netzwerk zur Verfügung gestellt werden. |
| • | Ein Peer-to-Peer-Netzwerk kann einfach vergrößert werden und ist zuverlässiger als ein Netzwerk mit einem einzelnen zentralen Server. |
| • | Ressourcen können für eine Nutzung durch verteile Aufgaben konsolidiert werden. |
| • | Auf freigegebene Ressourcen der Peer-Computer kann direkt zugegriffen werden. |
| • | Peer-to-Peer-Netzwerke ermöglichen oder erweitern Real-Time Communications (RTC), Zusammenarbeit, Verbreitung von Inhalten und eine verteilte Verarbeitung. |
Hierzu stellt Microsoft nun die Peer-to-Peer-Netzwerkkomponente zur Verfügung. Sie wird über die Kategorie Netzwerkdienste der Windows-Komponenten unter Software in der Systemsteuerung installiert. Sie ist standardmäßig nicht installiert (bisher wurde die Komponente über das erweiterte Netzwerkpaket für Windows XP installiert). Die Windows Peer-to-Peer-Netzwerkdienste nutzen das TCP/IP Protokoll Version 6 (IPv6).
Die entsprechenden Peer-to-Peer-Anwendungen können Sie über einen Satz von Win32-Funktionen entwickeln. Weitere Informationen hierzu finden Sie in der Windows XP Peer-to-Peer API-Dokumentation (englischsprachig). Außerdem benötigen Sie das Microsoft Windows XP Peer-to-Peer Software Development Kit (SDK).
Ein Beispiel für eine Windows Peer-to-Peer-Anwendung ist threedegrees (3°). Hierbei handelt es sich um eine kostenlose Anwendung, die die Windows Peer-to-Peer-Plattform für eine gemeinsame Playlist, zum Verschicken von digitalen Fotos und für Gruppenchats über den MSN® Messenger nutzt.
Weitere Informationen zur Architektur der Windows Peer-to-Peer-Netzwerkdienste finden Sie im Cable Guy-Artikel aus November 2003 Windows Peer-to-Peer Networking.
IPv6-Update
Windows XP SP2 stelle die folgenden Erweiterungen für IPv6 zur Verfügung (diese sind auch im erweiterten Netzwerkpaket für Windows XP enthalten):
| • | IPv6-ICF |
| • | Teredo netsh interface ipv6 show teredo |
Weitere Informationen zur IPv6-ICF und zu Teredo finden Sie im Dokument IPv6 Features in the Advanced Networking Pack for Windows XP im Cable Guy-Artikel aus April 2003.
Weitere Informationen
Weitere Informationen zu Service Pack 2 für Windows XP finden Sie unter:
 | The Cable Guy |