Windows XP verspricht mehr Sicherheit

Wolfgang Sommergut ist Betreiber der Online-Publikation WindowsPro.
Mit Windows XP führt Microsoft die Systeme für Privatnutzer (95/98/ME) und Profis (NT/2000) in einem Client-OS zusammen. Gewinner sind dabei vor allem Heimanwender, die nun auf mehr Stabilität und Sicherheit hoffen können. Eine Reihe von Neuerungen gegenüber Windows 2000 soll aber auch professionelle Anwender zum Update bewegen.

Microsoft vollzieht mit dem bevorstehenden Windows-Update einen ähnlichen Schritt wie Apple vor rund sechs Monaten mit "Mac OS X". Beide Unternehmen kündigten mehrmals an, ein technisch überholtes Client-Betriebssystem durch einen robusten und modernen Nachfolger ersetzen zu wollen, hatten aber Probleme, ihr Versprechen zu halten. Schließlich griffen sie auf Technologie zurück, die primär für den Server-Einsatz entwickelt wurde: Das neue Apple-System basiert auf Unix, Microsoft hingegen stellt Windows nun durchgängig auf eine NT-Grundlage.

Viele der Neuerungen von Windows XP sprechen primär den Heimanwender an. Die neue Bedienerführung kann ein Update nicht rechtfertigen.
Viele der Neuerungen von Windows XP sprechen primär den Heimanwender an. Die neue Bedienerführung kann ein Update nicht rechtfertigen.

Entsprechend gleichen sich die Vor- und Nachteile der neuen Betriebsysteme. Auf der Haben-Seite stehen Absturzsicherheit durch Speicherschutz, effizientes Multitasking, sichere Dateisysteme und getrennte Umgebungen für jeden Benutzer.

Den Preis für diesen Fortschritt müssen Anwender in Form höherer Hardware-Anforderungen und größerer Komplexität bezahlen. Letztere macht sich etwa darin bemerkbar, dass sich Endbenutzer zukünftig mit Aufgaben befassen müssen, die bisher Systemadministratoren vorbehalten waren. Dazu gehören - überdeckt durch allerlei Assistenten und Wizards - beispielsweise die Benutzerverwaltung und die Vergabe von Dateirechten.

Trotz der genannten Parallelen zwischen den Client-Strategien der beiden Anbieter unterscheiden sie sich in einem wesentlichen Punkt: Während Apple vor der Fertigstellung des OS X mit "Mac OS" nur ein System für alle Zwecke anbieten konnte, fuhr Microsoft schon länger zweigleisig. Die von Windows NT abstammende Produktfamilie sah die Company für die professionelle Nutzung vor, bei der es vor allem auf Zuverlässigkeit und Sicherheit ankommt. Privatanwendern empfahl der Office-Riese das von Windows 3.1 abgeleitete 95/98/ME, weil es wegen seiner guten Abwärtskompatibilität auch alte Anwendungen ausführen könne, aufgrund der großen Treiberunterstützung nahezu alle Peripheriegeräte unterstütze und sich zudem für Spiele und Multimedia-Programme besonders eigne.

Da Windows XP beide Systeme auf Grundlage von NT/2000 zusammenführt, bringt es die Vorzüge des Profisystems quasi von selbst mit. Die Herausforderung für Microsoft besteht in erster Linie darin, auf dieser Basis die spezifischen Features von Windows 95/98/ME nachzubilden. Ganz oben auf der Liste steht für private Nutzer natürlich die Verträglichkeit mit Multimedia-Anwendungen und Spielen. Microsoft bietet dafür den "Application Compatibility Mode" an, der für diese Programme eine Ablaufumgebung nach dem Vorbild älterer Windows-Versionen emuliert (deutliche Verbesserungen lassen sich übrigens mit dem Service Pack 2 auch unter Windows 2000 erzielen, www.microsoft.com/windows2000/downloads/servicepacks/sp2). Dazu gehört unter anderem, dass sich das System gegenüber Anwendungen mit einer beliebigen Versionsnummer zu erkennen geben kann. Detaillierte Einstellungen lassen sich für jede Applikation in einer dafür vorgesehenen Datenbank hinterlegen. Zur Windows-9x-Software, die dennoch nicht unter XP laufen wird, gehören laut Microsoft Virenscanner, systemnah arbeitende Utilities oder Programme zur Datensicherung.

Mindestens genauso wichtig für den Erfolg von Windows XP im Massenmarkt dürfte die Treiberunterstützung sein. NT und Windows 2000 wurden von Hardwareanbietern bisher nicht in dem Maße berücksichtigt wie die Consumer-Ausführungen des Microsoft-Systems. Da sich unter XP Windows-9x-Treiber nicht weiterverwenden lassen, legt die Gates-Company großen Wert darauf, dass das neue OS mit einem umfangreichen Treiberangebot an den Start geht. Davon dürften auch professionelle Anwender profitieren, denen unter NT/2000 nicht die Menge an Treibern zur Verfügung stand, die unter Windows 9x zu haben ist.

Allerdings beschränkt sich Windows XP nicht auf die Fusion der beiden Client-Systeme, sondern versteht sich sowohl als Weiterentwicklung von Windows 9x als auch von Windows 2000. Hinsichtlich der Update-Politik sieht Microsoft die "Windows XP Home Edition" als direkten Nachfolger von Windows 9x, während "Windows XP Professional" in die Fußstapfen von "Windows 2000 Professional" tritt (ein detaillierter Vergleich findet sich unter www.microsoft.com/windowsxp/home/howtobuy/choosing2.asp). Die Profi-Ausführung weist deshalb einige Neuerungen auf, die NT/2000-Nutzer interessant machen soll. Im Rahmen der normalen Betriebssystem-Evolution gehört dazu natürlich, dass Windows XP den aktuellen Entwicklungen auf der Hardwareseite Rechnung trägt.

In gewissem Rahmen aktualisiert Microsoft auch ältere Systeme noch rückwirkend per Service Pack, mittelfristig stellt aber die mangelnde Unterstützung für neue Hardwarestandards einen der wichtigsten Gründe für das Update dar. Zu den diesbezüglichen Neuerungen von Windows XP zählen unter anderem Wireless LAN, Wake-on-LAN für Notebooks, Einbindung von audiovisuellen Geräten über die IEEE-1394-Schnittstelle (beispielsweise Videorecorder), die Unterstützung von LCDs mit einer Auflösung bis zu 200 dpi oder die Berücksichtigung von zusätzlichen Funktionstasten (etwa für Multimedia-Funktionen oder Power-Management). Außerdem löst Windows Image Acquisition (WIA) Twain als Schnittstelle zu Scannern ab.

Zu den wichtigen Entwicklungen im Hardwaremarkt zählt zweifellos, dass Intel mit dem Itanium nun ebenfalls einen 64-Bit-Prozessor anbieten kann. Microsoft reagiert darauf mit einer 64-Bit-Version von Windows XP, die sich vor allem für rechenintensive Aufgaben wie CAD oder Bildbearbeitung eignen soll. Um die Leistungsfähigkeit des Systems ausschöpfen zu können, müssen allerdings erst 64-Bit-Ausführungen der betreffenden Anwendungen zur Verfügung stehen.

Während das 64-Bit-Windows vorerst nur einen Nischenmarkt bedienen wird, versucht Microsoft mit anderen Neuerungen von Windows XP eine breitere Anwenderschaft anzusprechen. Aufgrund der Anfälligkeit von Windows-PCs für alle möglichen Arten von Angriffen zählen dazu eine ganze Reihe von Sicherheitsfunktionen. Zwar will Microsoft mit dem .NET-Framework das Modell der Programmausführung unter Windows grundsätzlich ändern (siehe CW Nr. 29/2001, Seite 16, www.cowo.de/info-point/heftarchiv/index.cfm?id=70120013) und damit notorische Probleme seines Systems beseitigen. Da aber die neue Laufzeitumgebung für Windows XP noch nicht zur Verfügung steht und zudem die Mehrheit der Applikationen auf absehbare Zeit noch aus nativem Windows-Code bestehen wird, muss Microsoft gerade für die zunehmenden Viren- und Hackerangriffe besseren Schutz anbieten.

Ein wesentliches neues Feature in diesem Zusammenhang wird als "Managed Code" bezeichnet. Nicht vertrauenswürdige Programme können beispielsweise am Versenden von E-Mails oder am Zugriff auf das Dateisystem gehindert werden. Systemverwalter können dabei mit Hilfe von Policies zwei grundsätzliche Ansätze verfolgen: Entweder sie erlauben nur die Ausführung von Anwendungen, die sie explizit als vertrauenswürdig eingestuft haben, oder sie lassen alle Programme mit Ausnahme solcher zu, die sie als gefährlich klassifizieren. Dabei besteht auch die Möglichkeit, beispielsweise VB-Scripts nur dann die Ausführung zu genehmigen, wenn sie von vertrauenswürdiger Quelle signiert wurden.

Gerade zur Abwehr von Hackerangriffen ist es notwendig, laufend Patches und Updates einzuspielen, die bekannte Lücken und Schwächen von Windows beheben sollen. Da derartige Fehlerbereinigungen sehr häufig von Microsoft publiziert werden, versäumen es viele Systemverwalter immer wieder, bekannte Lecks ihrer Systeme abzudichten. Windows XP erweitert daher den bisherigen Update-Service und führt die automatische Installation von Patches und Service-Packs ein.

Einen wichtigen Beitrag zur Abwehr von unbefugten Manipulationen am System könnte zudem die Option leisten, die Nutzung von Administrations-Tools nur nach Authentifizierung per Smartcard zu erlauben.

Als wichtige Vorbeugung gegen den Datenklau bewarb Microsoft das mit Windows 2000 eingeführte Encrypting File System (EFS). Die transparente Verschlüsselung von Daten bot aufgrund komplizierter Verwendung und einiger Defizite in der Praxis nur wenig Schutz (siehe dazu CW 10/2001, Seite 20, www.cowo.de/info-point/heftarchiv/index.cfm?id=148246). Windows XP bringt in dieser Hinsicht einige Verbesserungen. So können mehrere Benutzer nun verschlüsselte Dateien gemeinsam bearbeiten. Offline-Dateien, die zur lokalen Bearbeitung vom Server heruntergeladen und danach wieder mit diesem synchronisiert werden, lassen sich unter XP jetzt ebenfalls auf diese Weise schützen. Hinzu kommt die Möglichkeit, nicht nur Daten auf freigegebenen Server-Laufwerken, sondern auch in so genannten Web Folders zu verschlüsseln - vorausgesetzt, der XP-Rechner ist Mitglied einer Windows-2000-Domäne.

Interessant dabei erscheint, dass Microsoft diesen Web-Ordnern immer stärker den Vorzug gegenüber dem traditionellen File-Sharing gibt. Letzters basiert auf dem Protokoll "Server Message Block" (SMB), das schon mit dem "LAN Manager" eingeführt wurde und sich in der Nutzung über das Internet als anfällig gegenüber Angriffen zeigte (beispielsweise "SMB Relay" der Hackergruppe "Cult of the dead Cow"). Im Zusammenhang mit EFS hebt Microsoft die höhere Sicherheit und den geringeren Administrationaufwand der Web-Ordner hervor. Progamme greifen auf diese über die HTTP-Erweiterung "WebDAV" zu, die von Windows XP nun umfassend unterstützt wird. So kommt die steigende Bedeutung dieser Technik schon dadurch zum Ausdruck, dass ein Netzwerk-Redirector für dieses Protokoll zum Lieferumfang gehört. Deshalb können auch ältere Anwendungen ohne explizite WebDAV-Fähigkeiten solche Ordner nutzen.

Als weitere interessante technische Weichenstellung erweist sich die Integration der Terminal-Dienste in das Client-System. Sowohl die Home- als auch die Professional-Variante beruhen auf dem Multiuser-Kernel und können daher die Thin-Client-Technik für diverse Aufgaben nutzen. So bietet die Profi-Ausgabe unter der Bezeichnung "Remote Desktop" die Möglichkeit, von zu Hause aus Programme entfernt auf dem Büro-PC ablaufen zu lassen. Wie beim Terminal-Server wird dabei die Bildschirmausgabe an den Client übertragen, was dank relativ geringen Bandbreitenbedarfs auch über schmalbandige Netze wie ISDN recht gut funktioniert. Das dafür verwendete Remote Desktop Protocol (RDP) weist in der Version 5.1 einige interessante Verbesserungen auf. So können entfernt ablaufende Programme nun lokale Drucker ansprechen, auf serielle Schnittstellen und Soundkarten des PCs zugreifen und über die Zwischenablage Daten mit lokal ablaufenden Programmen austauschen.

Man darf erwarten, dass Microsoft diese Neuerungen in die nächste Server-Version von Windows, "Windows .NET Server", aufnehmen wird und so für die "Independent Computing Architecture" (ICA) von Citrix noch weniger Spielraum lässt. Unter XP verbergen sich die Terminal-Dienste zudem hinter der Funktion "Remote Assistance". Mit ihrer Hilfe kann der Helpdesk über das Netz auf den Bildschirm eines Anwenders zugreifen und ihn bei der Lösung eines Problems unterstützen. Schließlich kommen sogar Heimanwender mit "Fast User Switching" in den Genuss der Multiuser-Funktionen: Beim Anmelden am System starten sie eine Session nach dem Muster des Terminal-Servers. Will sich eine weitere Person am Rechner einloggen, dann muss sich die erste nicht abmelden, sondern stellt ihre Sitzung in den Hintergrund. Beim Zurückschalten auf seine Umgebung findet der erste Benutzer alle von ihm geöffneten Anwendungen wieder vor. Dieses Umschalten zwischen Benutzersitzungen klappt auch bei der Profiversion - es sei denn, das System ist Mitglied einer Windows-Domäne.

Viele Neuerungen von Windows XP entpuppen sich schlicht als Funktionen neu hinzugepackter Programme. So verweist Microsoft in puncto Sicherheit auf die integrierte Personal Firewall "Internet Connection Firewall". Diese kann in ihrem Funktionsumfang allerdings nicht mit spezialisierten Produkten von Drittanbietern mithalten und bietet nur grob abgestufte Sicherheitseinstellungen.

Das exzessive Bundling betrifft ansonsten Zugaben, die für den professionellen Anwender kaum von Nutzen sind. Dazu zählt der "Media Player 8", "Movie Maker" oder die Software zum Brennen von CDs genauso wie der "MSN Explorer", einer Erweiterung des "Internet Explorer" für den vereinfachten Zugriff auf die Inhalte des Microsoft Network (MSN). In vielen Fällen bieten diese Add-ons dem Desktop-Monopolisten nur einen Vorwand, um Anwendern seine Internet-Dienste aufzudrängen.

Besonders penetrant gebärdet sich das Unternehmen, um über XP den umstrittenen Authentifizierungsdienst "Passport" zu fördern. So unterstützt der XP-Anmeldedienst von Haus aus das Passport-Protokoll, so dass sich Anwender transparent über diesen Dienst gegenüber E-Commerce-Anbietern authentifizieren können. Sogar das Instant-Messaging-Tool "Windows Messenger", Nachfolger von "Netmeeting", sieht vor, dass sich Teilnehmer eines Online-Chat über ihre Passport-Identität zu erkennen geben. Im Rahmen des Zertifizierungsprogramms plant Microsoft zudem drei Klassen von Windows-Kompatibilität, wobei deren höchste Stufe "Optimized for Windows XP" verlangt, dass die betreffende Software Passport-fähig ist.