Windows XP Service Pack 2 - Handbuch für die Anwendungskompatibilität

Mit der Einführung von Windows XP, Service Pack 2 (SP2), reagiert Microsoft auf die unmittelbaren Sicherheitsbedürfnisse seiner Kunden und sorgt dafür, dass Windows XP als Plattform noch mehr Sicherheit bietet und den Herausforderungen der modernen Geschäftswelt in allen Belangen gerecht wird. Zudem hat Microsoft Ressourcen wie dieses Handbuch und die zugehörigen Skripts entwickelt, die dabei helfen sollen, Windows XP SP2 umfassend zu verstehen und erfolgreich implementieren zu können. Links zu weiteren hilfreichen Ressourcen finden Sie an den entsprechenden Stellen in diesem Handbuch.

Die unbestreitbaren Vorteile der Internetkonnektivität für Organisationen haben auch dafür gesorgt, dass die Netzwerke zunehmend zum Opfer von Angriffen werden, die sich der Kontrolle des Einzelnen immer mehr entziehen. Um dieser wachsenden Bedrohung zu begegnen, müssen IT-Administratoren eine sichere Umgebung schaffen, in der die Computersysteme gefahrlos betrieben werden können. Damit ein adäquates Sicherheitsniveau gewährleistet werden kann, müssen Desktopcomputer unter Windows XP vor Übergriffen und Missbrauch geschützt werden.

Microsoft hat sich auch in der Vergangenheit schon eingehend mit Sicherheitsproblemen befasst und ist diesen immer wieder mit Sicherheitsupdates für Systemkomponenten und Anwendungen begegnet. Diese Vorgehensweise hat sich zwar als recht erfolgreich erwiesen, setzt jedoch eine kontinuierliche Überwachung sowie die regelmäßige Implementierung von Updates voraus. Systemweite Sicherheitsfeatures schützen hingegen den Computer als Ganzes und minimieren damit das Risiko für jede einzelne Komponente. Mit Windows XP SP2 werden solche systemweiten Sicherheitsfeatures implementiert, die eine zusätzliche Schutzhülle um die vorhandenen Sicherheitsupdateverfahren bilden sollen. Mit Windows XP SP2 werden zudem auch restriktivere Standardkonfigurationen für sicherheits- und kommunikationsrelevante Funktionen eingeführt.

Viren und Hacker werden auf die Verwendung der gleichen Kommunikationsprotokolle und Funktionen wie netzwerkbasierte Anwendungen beschränkt, sodass die Erhöhung der Sicherheit in der Netzwerkumgebung dazu führen kann, dass auch rechtmäßige Anwendungen oder Features nicht mehr den Erwartungen entsprechend funktionieren. Die Suche nach einem ausgewogenen Gleichgewicht zwischen Funktionalität und adäquater Sicherheit stellt für Administratoren eine ständige Herausforderung dar. Microsoft war immer bestrebt, Software mit einem möglichst breiten Funktionsumfang bereitzustellen, jedoch hat die Sicherung der Betriebsumgebung mittlerweile absoluten Vorrang. Die Sicherheitsfeatures von Windows XP SP2 können dafür sorgen, dass Windows XP als Umgebung mehr Sicherheit bietet. Bei Anwendungen, die nicht für diese höheren Sicherheitsanforderungen ausgelegt sind, kann es jedoch zu Problemen mit der Kompatibilität kommen.

Auf dieser Seite

	Umfang
	Zielgruppe
	Sicherheitserweiterungen
	Zusammenfassung

Umfang

Das vorliegende Test- und Risikominimierungshandbuch zur Anwendungskompatibilität unter Windows XP Service Pack 2 bietet Informationen darüber, wie sichergestellt werden kann, dass Anwendungen unter Windows XP SP2 weiter betrieben werden können. Es umfasst Prozessablaufpläne und Anweisungen, wie Kompatibilitätsprobleme erkannt und minimiert und Korrekturen zur Problemminimierung implementiert werden können. In diesem Handbuch werden die mit Windows XP SP2 implementierten Sicherheitstechnologien erläutert, und es enthält detaillierte Anweisungen zur Minimierung von Problemen mit der Anwendungskompatibilität, die im Rahmen umfangreicher Tests von Microsoft-Anwendungen und Anwendungen von Drittanbietern erkannt wurden. Das Handbuch enthält zudem Details zu Änderungen und Erweiterungen der folgenden Features von Windows XP:

In Abbildung 1.1 sind die wichtigsten Punkte dieses Handbuchs sowie deren Beziehungen zueinander dargestellt.

Abbildung 1.1 Ablaufdiagramm mit den wichtigsten Punkten des Test- und Risikominimierungshandbuchs zur Anwendungskompatibilität unter Windows XP SP2.
Bild maximieren

Das Verfahren zum Prüfen der Anwendungskompatibilität umfasst die folgenden Aufgaben:

Falls es notwendig sein sollte, kurzfristige Korrekturen anzuwenden, wiederholen Sie dieses Verfahren, bis alle Anwendungen mit den neuen Sicherheitstechnologien kompatibel sind.

Zum Seitenanfang

Zielgruppe

Diese Handbuch wendet sich an IT-Fachleute und Administratoren, deren Aufgabengebiete den Support, das Testen von Anwendungen, das Konfigurieren der Sicherheit und die Netzwerkverwaltung umfassen. In diesem Handbuch wird nicht von einer bestimmten Größe oder Komplexität des Netzwerkes ausgegangen, und es gilt für Peer-to-Peer-Umgebungen ebenso wie für Domänen- und Active Directory(r)-Umgebungen. Die hierin enthalten Sicherheitsinformationen sind zudem auch für Netzwerke relevant, von denen aus kein Zugriff auf das Internet besteht.

Zum Seitenanfang

Sicherheitserweiterungen

Windows XP SP2 ist mehr als ein Rollup von Sicherheitsupdates. Hiermit werden neben Erweiterungen an vorhandenen Technologien auch eine Reihe neuer Features eingeführt. Diese Änderungen umfassen Folgendes:

Internet Explorer

Bei Internet Explorer handelt es sich um eine der am häufigsten verwendeten Systemkomponenten, und das Programm hat sich von einem einfachen Webbrowser zum Front-End für Datenbanken und Intranetanwendungen entwickelt. Internet Explorer wird in einer Umgebung betrieben, die oftmals eine Automatisierung erfordert. Das Downloaden von Anwendungen, Dateien und ActiveX(r)-Steuerelementen, das Öffnen zusätzlicher Webseiten und das Installieren von Add-on-Features sind nur einige der automatisierten Funktionen, die zur Unterstützung von dynamische und benutzerfreundlichen Webseiten und Webanwendungen beitragen sollen. Obwohl diese automatisierten Funktionen extrem nützlich sind, um den Umgang des Benutzers mit dem Medium Computer zu vereinfachen, enthalten sie bei böswilligem Einsatz doch ein erhebliches Schadenspotenzial.

Zur Verhinderung von Angriffen wird unter Windows XP SP2 ein strukturiertes Sicherheitsmodell verwendet, das es dem Administrator ermöglicht, mithilfe von Sicherheitszonen eine in Ebenen untergliederte Sicherheitsstrategie zu konfigurieren. Die Konfiguration der Sicherheitsfeatures kann für jede Zone unterschiedlich sein. Daher müssen sich die Entwickler beim Entwurf einer umfassenden Sicherheitsrichtlinie bewusst sein, was in jeder Zone zulässig ist, und Anwendungen entsprechend dem Sicherheitsmodell der Zone entwickeln. Mit Windows XP SP2 wird zudem auch eine restriktivere Ausführungsumgebung implementiert, die voraussetzt, dass sich die Anwendungsentwickler beim Schreiben von Anwendungen für eine webbasierte Umgebung diesen Sicherheitsanforderungen bewusst sind.

Zu den neuen oder erweiterten Features in Internet Explorer gehören die Folgenden:

In diesem Abschnitt wird jede dieser Funktionen im Einzelnen erläutert.

Funktionssteuerung

Windows XP SP2 umfasst Registrierungseinstellungen, die es bestimmten Prozessen gestatten, sich für oder gegen relevante Sicherheitsfeatures zu entscheiden. Nach dem die Funktionssteuerung aktiviert wurde, kann die Konfiguration von Sicherheitsfeatures für jede Sicherheitszone separat vorgenommen werden. Sie können die Funktionssteuerungseinstellungen unter Verwendung einer Active Directory-Gruppenrichtlinie, über die Registerkarte Sicherheit unter Internetoptionen in der Systemsteuerung oder durch Bearbeiten der Registrierung konfigurieren.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für die Funktionssteuerung

Minimieren von Problemen mit der Anwendungskompatibilität für die Funktionssteuerung

UrlAction-Sicherheit

UrlActions sind automatisierte Funktionen, die in Webanwendungen integriert werden, um Zusatzfunktionen bereitzustellen. Die Einstellungen für UrlActions können über die Registerkarte Sicherheit der Benutzeroberfläche (User Interface - UI) Internetoptionen konfiguriert werden. Mit Windows XP SP2 erhält der Administrator die Möglichkeit, Gruppenrichtlinien für die Konfiguration dieser Einstellungen zu verwenden, wodurch im Vergleich zum Internet Explorer Administration Kit (IEAK) der Vorgängerversionen die Flexibilität erhöht wird.

Einige UrlAction-Einstellungen sind so lange ungültig, bis die zugehörige Funktionssteuerung aktiviert wurde. Einige der in diesem Handbuch erläuterten Funktionen werden unter Verwendung der Funktionssteuerungs- und Url-Action-Sicherheit konfiguriert.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für UrlActions

Minimieren von Problemen mit der Anwendungskompatibilität für UrlActions

Binärverhalten

Mit Binärverhalten wird Internet Explorer in die Lage versetzt, ein bestimmtes HTML-Element (Hypertext Markup Language) zu verwenden. Binärverhalten werden beispielsweise in Microsoft Office verwendet, um beim Speichern von anwendungsspezifischen Dateien als Webseite die gleiche Darstellungsweise beizubehalten, also wenn z. B. eine Tabelle mit einem hierin befindlichen Diagramm als Webseite gespeichert wird.

In Vorgängerversionen von Internet Explorer waren Binärverhalten zulässig, die jedoch auch dann ein potenzielles Sicherheitsrisiko darstellen, wenn die Ausführung in der Zone Eingeschränkte Sites erfolgt. Unter Windows XP SP2 kann der Administrator Binärverhalten auf Basis einzelner Zonen aktivieren oder deaktivieren. In der Zone Eingeschränkte Sites sind Binärverhalten standardmäßig deaktiviert.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für Binärverhalten

Minimieren von Problemen mit der Anwendungskompatibilität für Binärverhalten

Sperrung der Zone des lokalen Computers

Wenn eine Website in Internet Explorer geöffnet wird, werden nach Maßgabe der Sicherheitszone, aus der die Seite geladen wurde, bestimmte Fähigkeiten eingeschränkt, z. B. wenn die Seite aus der Internetzone oder aus der Zone Lokales Intranet stammt. Hierbei werden einer Seite aus der Internetzone mehr Einschränkungen auferlegt als einer Seite aus dem lokalen Intranet. Obwohl diese Option auf der Benutzeroberfläche Internetoptionen nicht angezeigt wird, verwendet Internet Explorer auch die Zone des lokalen Computers. In der Vergangenheit wurden Inhalte, die lokal gespeichert waren, als sicher betrachtet, und es wurden keine zonenbasierten Sicherheitsbeschränkungen auferlegt. Inhalte in der Zone des lokalen Computers wiesen zudem auch weniger Einschränkungen auf, was dazu führte, dass Angreifer versuchten, über die Zone des lokalen Computers erweiterte Berechtigungen zu erlangen und den Computer zu gefährden. Unter Windows XP SP2 wird die Zone des lokalen Computers standardmäßig mit mehr Sicherheit beaufschlagt, und der Administrator erhält die Möglichkeit, diese Zone zu sperren und damit die Einschränkungen weiter zu erhöhen.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für die Sperrung der Zone des lokalen Computers

Minimieren von Problemen mit der Anwendungskompatibilität für die Sperrung der Zone des lokalen Computers

MIME-Verarbeitung

Mit MIME (Multipurpose Internet Mail Extensions) steht ein Standard für die Erkennung von Dateitypen und Dateihandlern zur Verfügung. Wenn Internet Explorer versucht, eine Datei von einem Webserver zu downloaden und auszuführen, erhält das Programm auch einen MIME-Typ für diese Datei, mit dem der Dateityp und der Standardhandler für die Datei identifiziert werden. Internet Explorer verwendet diese Informationen, um zu erkennen, welche Anwendung für die Ausführung der Datei verwendet werden soll. In der Vergangenheit war es möglich, mit Internet Explorer eine Datei zu downloaden und diese unter Verwendung der MIME-Informationen auf der Festplatte zu speichern. Wenn die Datei dann zu einem späteren Zeitpunkt ausgeführt wurde, konnte ein anderer Handler verwendet werden. Diese Tatsache ermöglichte es einem Angreifer, eine ausführbare Datei bei deren Download als Text auszugeben (und damit den Eindruck zu erwecken, dass die Datei sicher sei). Wenn die Datei zu einem späteren Zeitpunkt ausgeführt wurde, wurden die MIME-Informationen nicht verwendet, und die Datei wurde - entweder in einer Anwendung oder in der Windows-Shell - ausgeführt, ohne dass der Benutzer benachrichtigt wurde.

Unter Windows XP SP2 wird die Verwendung von MIME als Methode für die Identifikation von MIME-Typen verstärkt. Unter Windows XP SP2 verwendet Internet Explorer die folgenden Informationen, um zu entscheiden, wie eine Datei verarbeitet werden soll:

Wenn der MIME-Typ nicht der Dateierweiterung entspricht, versucht Internet Explorer die Datei so umzubenennen, dass der Name dem Inhaltstyp entspricht. Wenn dies nicht möglicht ist, führt Internet Explorer die Datei nicht aus.

Mit MIME-Ermittlung ist Internet Explorer in der Lage, die Bitsignatur einer Datei zu erkennen und kann so potenziell den Dateityp identifizieren. Wenn ein Webserver keine ordnungsgemäßen Informationen zum Inhaltstyp übermittelt, kann eine HTML-Datei als normaler Text angezeigt werden, und es werden keine aktiven Inhalte geladen.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für die MIME-Verarbeitung

Minimieren von Problemen mit der Anwendungskompatibilität für die MIME-Verarbeitung

Objektzwischenspeicherungsschutz

Unter Windows XP SP2 wird verhindert, dass auf im Zwischenspeicher befindliche Objekte zugegriffen werden kann, wenn der Benutzer zu einer anderen Domäne wechselt (wie vom vollqualifizierten Domänennamen angegeben), oder wenn sich aufgrund der Navigation innerhalb einer Domäne der Kontext ändert. Diese Einschränkung verhindert, dass über das im Zwischenspeicher befindliche Objekt von einer anderen Domäne aus auf den Inhalt der Webseite zugegriffen wird. Auf diese Weise kann ein Angreifer kein Skript verwenden, um Ereignisse in einem anderen Internet Explorer-Frame oder -Fenster abzugreifen, wie Kreditkartennummern während der Eingabe.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für Objektzwischenspeicherung

Minimieren von Problemen mit der Anwendungskompatibilität für Objektzwischenspeicherung

Fenstereinschränkungen

Unter Windows XP SP2 kann Internet Explorer einschränken, wo mit Skripten neu geöffnete Fenster platziert werden. Darüber hinaus wird das Ausblenden von Titelleiste, Statusleiste oder Adressleiste verhindert. Mit dieser Einschränkung wird verhindert, dass Angreifer ein Skript ausführen, mit dem außerhalb des sichtbaren Monitorbereichs ein Fenster geöffnet wird und böswillige Inhalte oder Aktivitäten so verborgen werden, oder dass ein kleines Fenster über einem Dialogfeld platziert wird, um dessen Zweck zu ändern.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für Fenstereinschränkungen

Minimieren von Problemen mit der Anwendungskompatibilität für Fenstereinschränkungen

Schutz vor Zonenanhebung

Unter Windows XP SP2 wird verhindert, dass von Webseiten aus in eine Sicherheitszone mit geringeren Einschränkungen gewechselt wird. Der Schutz vor Zonenanhebung verhindert, dass der Gesamtsicherheitskontext für einen Link auf einer Seite höher als der Sicherheitskontext der Stamm-URL ist. Mit dieser Einschränkung wird verhindert, dass Angreifer per Skript die Seitennavigation in einer Zone mit geringeren Einschränkungen umleiten, um dort böswilligen Code auszuführen.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für den Schutz vor Zonenanhebung

Minimieren von Problemen mit der Anwendungskompatibilität für den Schutz vor Zonenanhebung

Informationsleiste

Unter Windows XP SP2 werden viele der Popupdialogfelder, die für den Benutzer gegenwärtig noch angezeigt werden, durch die Informationsleiste ersetzt. In der Informationsleiste wird eine kurze Textnachricht angezeigt, die sich auf das Ereignis bezieht. Die Informationsleiste wird unterhalb der Internet Explorer-Symbolleisten und oberhalb der Webseite angezeigt. Durch Klicken auf die Informationsleiste werden weitere für das Ereignis relevante Informationen angezeigt. Wenn mehr als ein Ereignis blockiert wurde, ist der Text im Hinblick auf die Details zu den Ereignissen, die in der Liste aufgeführt werden, eher generisch. In der Informationsleiste werden zahlreiche Ereignisse angezeigt, zu denen die folgenden gehören:

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für die Informationsleiste

Minimieren von Problemen mit der Anwendungskompatibilität für die Informationsleiste

Popupverwaltung

Unter Windows XP SP2 ist die Sperrung von Popups automatisch aktiviert. Wenn eine Webseite versucht, automatisch ein weiteres Internet Explorer-Fenster zu erstellen, wird das neue Fenster unterdrückt, und in der Informationsleiste wird eine Meldung angezeigt. Der Benutzer kann das Popupfenster aktivieren, indem er im Bedarfsfall auf die Informationsleiste klickt. Diese Funktion wird nicht bei Fenstern angewendet, die geöffnet werden, weil der Benutzer auf einen Link geklickt hat, oder bei Popupfenstern innerhalb der Intranetzone.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für die Popupverwaltung

Minimieren von Problemen mit der Anwendungskompatibilität für die Popupverwaltung

Add-on-Verwaltung

Internet Explorer-Add-ons sind Programme, mit denen die Funktionalität des Browsers erweitert wird. Die Installation von Add-ons erfolgt in der Regel als Download von einer Website, in Form der Anwendungsinstallation oder als Teil des Betriebssystems, oftmals, ohne dass der Benutzer von der Add-on-Funktionalität oder gar von der Existenz des Programms Kenntnis hat.

Dies stellt ein potenzielles Sicherheitsrisiko dar. Unter Windows XP SP2 ist die Verfolgung installierter Add-ons über eine Liste möglich, und der Administrator kann Add-ons im Bedarfsfall über die Oberfläche Add-on-Verwaltung deaktivieren.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für die Add-on-Verwaltung

Minimieren von Problemen mit der Anwendungskompatibilität für die Add-on-Verwaltung

Windows-Firewall

Die Windows-Firewall ist eine Softwarefirewall, die die statusbehaftete Prüfung und Filterung des eingehenden Netzwerkverkehrs ermöglicht. Der Administrator muss einen TCP- (Transmission Control-Protokoll) oder UDP-Port (User Datagram-Protokoll) öffnen, damit die eingehende Kommunikation stattfinden kann. Nach der Installation von Windows XP SP2 wird die Windows-Firewall standardmäßig aktiviert.

Und auch wenn die Firewall eines Drittanbieters vorhanden ist, ist die Windows-Firewall standardmäßig aktiviert. Hierbei kann es jedoch zu Leistungseinbußen kommen. Der Administrator kann die Windows-Firewall daher ggf. deaktivieren.

Aktivieren von Ports

Der Administrator kann die eingehende Kommunikation über die Firewall zulassen, indem er den geeigneten Port angibt oder die ausführbare Datei der Anwendung in eine Ausnahmeliste aufnimmt. Ein dediziert geöffneter Port bleibt permanent offen, wohingegen eine in der Ausnahmeliste befindliche ausführbare Datei die von der Anwendung benötigten Ports nur so lange offen hält, wie die Anwendung ausgeführt wird.

Darüber hinaus ist es möglich, den Zugriff auf einen Kommunikationsport auf das lokale Subnetz zu beschränken. In der Arbeitsgruppenumgebung geschieht dies standardmäßig, wenn die Datei- und Druckerfreigabe aktiviert wird. Aus diesem Grund kann auf die UDP-Ports 137 und 138, auf die TCP-Ports 149 und 445 sowie auf den UPnP-Dienst (Universal Plug and Play) auf UDP-Port 1900 und TCP-Port 2869 nur von Computern aus dem lokalen Subnetz aus zugegriffen werden.

Die Windows-Firewall kann auch so konfiguriert werden, dass keine Ausnahmen zulässig sind. Auf diese Weise wird das System unter Windows XP in den Clientmodus versetzt, und jede eingehende Kommunikation wird verhindert.

Multicast- und Broadcastunterstützung

Bei Verwendung von Multicast- und Broadcastprotokollen und -diensten erhält der Computer möglicherweise Kommunikationsanforderungen von unbekannten Hosts. Damit die Windows-Firewall diesen Verkehr nicht filtert, bleibt der von Broadcast- oder Multicastprotokollen verwendete Port für drei Sekunden offen, um Antworten von beliebigen Systemen zu empfangen.

Bootzeitrichtlinie

Zur Verhinderung von böswilligen Angriffen während des Startvorgangs des Computers wird von der Windows-Firewall eine statische Bootzeitrichtlinie implementiert. Mit dieser Richtlinie ist der Computer in der Lage, grundlegende Netzwerkaufgaben wie die DNS-Hostauflösung (Domain Name System) und DHCP-Anforderungen (Dynamic Host Configuration-Protokoll) abzuarbeiten und mit dem Domänencontroller zu kommunizieren. Die Bootzeitrichtlinie kann zwar nicht konfiguriert werden, wenn jedoch die Windows-Firewall oder der ICS-Dienst (Internet Connection Sharing - gemeinsame Nutzung der Internetverbindung) deaktiviert oder auf Manuell gesetzt wurde, wird die Richtlinie nicht angewendet.

Laufzeitrichtlinie

Die Windows-Firewall tritt in Aktion, wenn die Windows-Firewall oder der ICS-Dienst gestartet werden. Dies ist der Zeitpunkt, zu dem die Laufzeitrichtlinie angewendet wird. Der Administrator einer Active Directory-Umgebung kann nun zwei Laufzeitrichtlinien konfigurieren, die als Domänenrichtlinie und als Standardrichtlinie bezeichnet werden und die unterschiedliche Konfigurationen für Laptops zulassen, wenn diese nicht mit der Domäne verbunden sind.

In der Windows-Firewall kann eine globale Richtlinie und können Richtlinien für einzelne Netzwerkschnittstellen konfiguriert werden. Die Konfiguration der globalen Richtlinie wird automatisch auf jede neue Verbindung unter den Netzwerkverbindungen angewendet, so auch auf Wählhilfen, die nicht von Microsoft stammen.

Wenn Sie weitere Informationen zur Windows-Firewall im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für die Windows-Firewall

Minimieren von Problemen mit der Anwendungskompatibilität für die Windows-Firewall

Datenausführungsverhinderung

Bei der Datenausführungsverhinderung (Data Execution Prevention - DEP) handelt es sich um eine Sammlung von Hardware- und Softwaretechnologien, mit denen zusätzliche Prüfungen des Arbeitsspeichers durchgeführt werden, um Schutz vor der Ausführung von böswilligem Code zu bieten. Unter Windows XP SP2 wird DEP sowohl hardwareseitig als auch softwareseitig durchgesetzt.

Hardwareseitig durchgesetzte DEP

Bei der hardwareseitigen Durchsetzung von DEP werden alle Bereiche des Arbeitsspeichers als nicht ausführbar gekennzeichnet, es sei denn, der Bereich enthält explizit ausführbaren Code. Diese Funktion von Windows XP SP2 setzt bei der Kennzeichnung von Speicherpositionen mit einem Attribut, das angibt, dass der Code an dieser Speicherposition nicht ausgeführt werden sollte, auf die Unterstützung des Prozessors. DEP arbeitet auf der Basis einzelner virtueller Speicherseiten. Dabei wird zum Kennzeichnen der Speicherseite in der Regel ein Bit im Seitentabelleneintrag (Page Table Entry - PTE) verwendet.

Die eigentliche Hardwareimplementierung von DEP und das Kennzeichnen der virtuellen Speicherseite hängt von der jeweiligen Prozessorarchitektur ab. Von Prozessoren, die hardwareseitig durchgesetzte DEP unterstützen, kann jedoch eine Ausnahme (Exception) ausgelöst werden, wenn Code von einer Seite ausgeführt wird, für die das entsprechende Attribut gesetzt wurde.

Sowohl AMD (Advanced Micro Devices(tm)) als auch die Intel(r) Corporation haben mit Windows kompatible Architekturen definiert und auf den Markt gebracht, die mit DEP kompatibel sind.

Beginnend mit Windows XP SP2 ist die 32-Bit-Version von Windows in der Lage, die Prozessorfunktion "NX" (No-Execute Page-Protection) wie von AMD definiert oder die Bitfunktion "Execute Disable" wie von Intel definiert zu nutzen. Zur Verwendung dieser Prozessorfunktionen muss der Prozessor im PAE-Modus (Physical Address Extension) laufen.

Softwareseitig durchgesetzte DEP

Unter Windows XP SP2 wurde ein weiterer Satz DEP-Sicherheitsprüfungen implementiert. Diese Prüfungen, die als softwareseitig durchgesetzte DEP bezeichnet werden, wurden entwickelt, um die unzulässige Nutzung der Ausnahmebehandlungsmechanismen von Windows zu unterbinden. Die softwareseitig durchgesetzte DEP funktioniert mit jedem Prozessor, der mit Windows XP SP2 zusammenarbeitet. Standardmäßig werden mit der softwareseitig durchgesetzten DEP lediglich in begrenztem Rahmen Systembinärdateien geschützt, und zwar ungeachtet der Fähigkeiten des Prozessors zur Durchführung von hardwareseitig unterstützter DEP.

Weitere Informationen zu DEP

Standardmäßig werden mit DEP nur Systemanwendungen und -dienste geschützt. Bei Anwendungen, mit denen Windows-Funktionen erweitert werden, kann es jedoch zu Problemen mit DEP kommen. Darüber hinaus können auch Probleme mit DEP auftreten, wenn die DEP-Konfiguration des Systems von den Standards abweichend geändert wurde.

Wenn Sie davon ausgehen, dass ein Problem mit DEP vorliegt, können Sie eine Kompatibilitätskorrektur mit Namen DisableNX anwenden, die Sie im Windows Application Compatibility Toolkit (ACT) finden.

Weitere Informationen über die Anwendungskompatibilität unter Windows finden Sie auf der Microsoft-Website unter

http://www.microsoft.com/windows/appcompatibility/default.mspx (englischsprachig).

Wenn Sie weitere Informationen zur hardware- und softwareseitig durchgesetzten DEP im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für DEP

Minimieren von Problemen mit der Anwendungskompatibilität für DEP

DCOM und RPCs

Durch Änderungen an DCOM (Distributeted Component Object Model) und RPCs (Remoteprozeduraufrufen) konnte die Sicherheit bei der Netzwerkkommunikation und der Remoteausführung von Anwendungen erheblich verstärkt werden.

DCOM

Beim Microsoft Component Object Model (COM) handelt es sich um ein plattformunabhängiges, verteiltes, objektorientiertes System zum Erstellen von binären Softwarekomponenten, die miteinander kommunizieren können. DCOM ist eine Weiterentwicklung von COM, die die logische Verteilung von Anwendungen über mehrere Standorte ermöglicht. Unter Windows XP SP2 kann der Administrator die systemweiten Sicherheitseinstellungen für DCOM konfigurieren, mit denen ein bestimmtes Mindestniveau an Sicherheit durchgesetzt und auf alle COM-Programme angewendet wird. Die Konfiguration dieser Sicherheitseinstellungen erfolgt auf der Serverkomponente. Diese Einstellungen sind nur relevant, wenn das System unter Windows XP SP2 als Server für die Anwendung dient.

Abbildung 1.2 veranschaulicht die neue DCOM-Architektur.

Abbildung 1.2 DCOM-Komponenten unter Windows XP SP2. Es werden die Client- und Serverkomponenten dargestellt.
Bild maximieren

Unter Vorgängerversionen von Windows verfügte eine DCOM-Anwendung über die Berechtigungen Starten und Zugreifen. Damit eine Anforderung an den COM-Server erfolgen kann, sendet COM auf dem Client eine Anforderung an RPCSS (Remote Procedure Call Session-Dienst), um mit dem Remotesystem zu kommunizieren. RPCSS kommuniziert mit RPCSS auf dem Remotesystem, von wo aus die Anforderung an den COM-Server weitergeleitet wird. RPCSS auf dem Remotesystem startet den COM-Server, sofern dieser noch nicht ausgeführt wird, für den der Benutzer die Berechtigung Starten anfordert. Für den Zugriff auf einen laufenden COM-Server benötigt der Benutzer die Berechtigung Zugreifen. Damit auch ein erster Zeiger auf einen COM-Server abgerufen wird, benötigt der Benutzer zudem die Berechtigung Aktivieren. Vor der Einführung von Windows XP SP2 konnte diese Berechtigung jedoch nicht separat konfiguriert werden. Es gab zudem keine Differenzierung der Berechtigungen Starten und Zugreifen für lokale oder remote befindliche COM-Komponenten.

Diese anwendungsspezifischen Berechtigungen wurden unter Windows XP SP2 erhöht, indem Aktivieren als separate Berechtigung hinzugefügt wurde und indem daneben auch eine Differenzierung zwischen dem lokalen und dem Remotezugriff auf den COM-Server erfolgt. Darüber hinaus wird auch eine neue Ebene der systemweiten Sicherheit eingezogen. Der Administrator kann die Berechtigungen Starten, Zugreifen und Aktivieren für das gesamte System konfigurieren, und zwar sowohl für lokale als auch für Remotezugriffe. Hierbei handelt es sich um eine separate Zugriffssteuerungsliste (Access Control List - ACL); die anwendungsspezifische ACL wird nicht geändert. Für den Zugriff auf den COM-Server muss der Benutzer in beiden ACLs über die geeigneten Berechtigungen verfügen.

Standardmäßig wird mit diesem Sicherheitsmodell verhindert, dass COM-Anwendungen den nicht authentifizierten Remotezugriff auf das System zulassen, wodurch das System erheblich widerstandsfähiger gegenüber Angriffen wird.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für DCOM/RPC

Minimieren von Problemen mit der Anwendungskompatibilität für DCOM/RPC

Remoteprozeduraufrufe

Anwendungen und Dienste verwenden Remoteprozeduraufrufe (RPCs) für die Remotekommunikation. Unter Windows XP SP2 kann der Administrator das Verhalten aller RPC-Schnittstellen so ändern, dass Sicherheit vorausgesetzt wird.

Hinweis: Das Named-Pipes-Protokoll kann aufgrund von Problemen mit der Abwärtskompatibilität nicht auf diese Weise eingeschränkt werden.

Mit dem Registrierungsschlüssel RestrictRemoteClients wird RPC gezwungen, für alle Schnittstellen zusätzliche Sicherheitsprüfungen durchzuführen. Dieser Schlüssel kann einen von drei möglichen Werten aufweisen:

Mit diesem neuen Sicherheitsmodell ist der Administrator in der Lage, die Angriffsfläche des Systems in Verbindung mit dem RPC-Protokoll zu begrenzen.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für DCOM/RPC

Minimieren von Problemen mit der Anwendungskompatibilität für DCOM/RPC

Ausführungsdienst der Anlagenverwaltung

Unter Windows XP SP2 wurde eine neue Anwendungsprogrammierungsschnittstelle (API) implementiert, die den Namen Ausführungsdienst der Anlagenverwaltung (Attachment Manager Execution Service - AES) trägt. Bei neuen Anwendungen, die unter Verwendung dieser API entwickelt wurden, wie Outlook(r) Express, Windows Messenger und Internet Explorer, wird AES verwendet, um für den Benutzer Zusatzinformationen im Hinblick auf Anlagen und Downloads anzuzeigen. Mit AES verwaltet die Anwendung den Download von Anlagen und kann bei ausführbaren Dateien Signaturen verlangen. Mit AES gilt die gleiche Sicherheit auch für Anlagen, die auf der Festplatte gespeichert werden, da diese Anlagen als gedownloadete Dateien gekennzeichnet und behandelt werden.

Wenn Sie weitere Informationen über diese Technologie im vorliegenden Handbuch anzeigen möchten, klicken Sie auf die nachstehenden Links:

Testen der Anwendungskompatibilität für den Ausführungsdienst der Anlagenverwaltung

Minimieren von Problemen mit der Anwendungskompatibilität für den Ausführungsdienst der Anlagenverwaltung

Sonstige Kompatibilitätsprobleme

Die Implementierung von Windows XP SP2 kann auch in anderen Bereichen ggf. zu Kompatibilitätsproblemen führen. Diese Probleme können unterschiedliche Ursachen haben, und es zeigen sich ggf. keine spezifischen Symptome. Einige dieser Probleme erfordern Änderungen an Anwendungen, und zwar entweder zusätzlichen Entwicklungsaufwand oder eine Aktualisierung der Software. Im Folgenden finden Sie Beispiele für Probleme, die ohne zusätzlichen Entwicklungsaufwand behoben werden können:

Microsoft .NET Framework-Sprachen

Mit SP2 wird Windows XP um zusätzliche Sprachen wie Walisisch erweitert. In den Versionen 1.0 und 1.1 von Microsoft .NET Framework werden diese neuen Sprachen nicht unterstützt, daher können diese neuen Sprachen von Anwendungen, die mit diesen Versionen entwickelt wurden, nicht verwendet werden.

Wenn Sie auf dieses Problem stoßen, sollten Sie die betroffenen Systeme auf die neueste Version von Microsoft .NET Framework aktualisieren.

Weitere Informationen über .NET Framework 1.0 SP3 und 1.1 SP1 finden Sie auf der Microsoft-Website unter

http://msdn.microsoft.com/netframework/downloads/updates/sptechpreview/default.aspx (englischsprachig))

RTF-Konverter

Mit SP2 werden RTF-Konverter unter Windows XP deaktiviert. Die Funktion dieser Konverter bestand darin, ältere Word 95-Dateitypen in aktuelle RTF-Formate zu konvertieren, sodass diese Dateien in WordPad oder Notepad angezeigt werden konnten. Ohne diese Konverter werden nicht erkannte Formatierungsinformationen als verstümmelte Zeichenfolgen zusammen mit dem Text angezeigt.

Wenn Sie auf dieses Problem stoßen, können Sie die Registrierung bearbeiten und den folgenden Wert hinzufügen, um die Konverter zu aktivieren; der Schlüssel ist ggf. noch nicht vorhanden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Applets\Wordpad
\EnableLegacyConverters=dword:00000001

Die Konverter wurden entfernt, um die Angriffsfläche des Systems zu verringern; mit der erneuten Aktivierung ergeben sich potenzielle Sicherheitsprobleme.

Zum Seitenanfang

Zusammenfassung

Mit Windows XP SP2 werden Änderungen eingeführt, die die Sicherheit von Computern unter Windows XP erheblich verbessern. Diese Verbesserungen müssen für eine erfolgreiche Implementierung jedoch dediziert geprüft werden. Das nächste Kapitel befasst sich mit den Verfahren zum Testen der Anwendungskompatibilität.

Weitere Informationen über funktionelle Änderungen in Microsoft Windows XP Service Pack 2 finden Sie auf der Microsoft-Website unter

http://www.microsoft.com/germany/technet/datenbank/articles/600337.mspx

Zum Seitenanfang

2 von 6