Waarom SP2? SP2 heeft zo'n uitgebreid arsenaal aan veranderingen omdat aanvallen (zoals virussen, trojans, hacks) steeds agressiever worden. Zo wordt de tijd tussen het bekend worden van een lek en de aanval hierop steeds korter. Daarom moeten updates steeds sneller beschikbaar zijn en bij voorkeur direct worden doorgevoerd op de pc. In de praktijk lukt dat meestal niet zo snel en daarom is besloten XP te wapenen met een pakket generieke, preventieve maatregelen. Zo krijgt u na installatie van het Service Pack een nieuwe firewall en ziet u duidelijker hoe het gesteld is met de veiligheid van uw systeem. Patches en updates worden dagelijks bijgewerkt en sneller aangeleverd. Via een standaardinstelling wordt XP elke nacht bijgewerkt, zodat u 's ochtends met een gezond systeem aan het werk gaat. Verwacht echter niet dat deze beveiliging afdoende is: u zult nog de nodige inspanningen moeten verrichten om uw systeem gezond te houden. Daarnaast ergeren steeds meer mensen zich aan de onhandelbaarheid van Outlook en Outlook Express. Deze vallen immers makkelijk ten prooi aan malafide attachments. Ook een punt van irritatie: de onstuurbaarheid van Internet Explorer. Pop-upvensters en ongewenste hulpprogramma's maken zich (schijnbaar) moeiteloos heerser over de werking van deze webbrowser en bemoeien zich met de instellingen. Gebruikersinterface Na SP2 zijn de beveiligingselementen binnen XP prominenter zichtbaar en beter toegankelijk. De oorspronkelijke Internet Connecting Firewall bijvoorbeeld zat diep verborgen in een tabblad Geavanceerd van de eigenschappen van de netwerkkaart. Nu bevindt het zich prominent in het Configuratiescherm en direct binnen het nieuwe Beveiligingscentrum (zie verderop). Bovendien meldt de beveiliging zich sneller. De taakbalk geeft met een zekere opdringerige, regelmatige frequentie mededelingen wanneer er wat mis is met de veiligheid van de pc. U kunt de beveiliging dus niet langer over het hoofd zien. Microsoft probeert alle mededelingen uit verschillende applicaties te kanaliseren in een nieuwe set van dialoogvensters, Attachment Execution Service geheten. Deze set onderscheidt zich duidelijk van reguliere systeemmeldingen en is als zodanig gemakkelijk herkenbaar als beveiligingsmededeling. Beveiligingscentrum In het nieuwe beveiligingscentrum is het overzicht op de firewall, het patchbeheer en de anti-virusprogrammatuur ondergebracht in drie balken die groen, geel of rood kleuren, afhankelijk van hun status. Is niet alles groen, dan meldt XP hardnekkig vanuit de taakbalk op het bureaublad dat u aan de slag moet om de gezondheid van uw computer te verbeteren. Klikt u op de mededeling, dan komt u terecht in het Beveiligingscentrum, waar eenvoudig wordt uitgelegd wat er van u wordt verwacht. In het Beveiligingcentrum zitten ook instellingen die de meldingen onderdrukken. Het is echter raadzaam om dit nieuwe onderdeel zijn werk te laten doen. Minpuntje: wordt een firewall of anti-virussoftware (van een andere maker) niet door het beveiligingscentrum herkend, dan kan dit tot verwarrende situaties leiden. Zelfs als de software werkt, zal XP u alsnog aanraden de eigen firewall aan te zetten of anti-virussoftware te installeren. Windows Firewall Het belangrijkste en meest controversiële onderdeel in Service Pack2 wordt gevormd door de nieuwe Windows Firewall. Een firewall laat alleen verkeer van buiten toe waar de pc om gevraagd heeft. Onverwacht verkeer vanuit de pc naar internet resulteert in een melding waarbij u moet beslissen of u akkoord gaat met het doorlaten van dat verkeer. Er wordt van u verwacht dat u toegestane applicaties, poorten of services in Windows Firewall registreert. Recente applicaties zoals Skype en Emule lossen dit zelf op. Zij stellen bij installatie de Windows Firewall in. Bij andere programma's verschijnt een pop-upvenster met de vraag of Windows Firewall de communicatie moet toestaan. In dat geval is kennis en ervaring nodig. Verkeerd of te ruim instellen kan resulteren in een ouderwets kwetsbaar XP. Windows Firewall ondersteunt naast het gebruikelijke IPv4 ook opvolger IPv6 en multicast, een protocol dat gebruikt wordt om efficiënt videostromen naar de pc te distribueren. Bij het downloaden van bestanden in IE, Outlook en andere applicaties verschijnt er een specifiek en herkenbaar dialoogvenster. Outlook Gebruikte u tot nu toe Outlook of Outlook Express, dan was dat niet altijd even veilig. E-mail kan immers schadelijke scripts bevatten en het aanklikken van bijlagen levert mogelijk een vermomde kwalijke download op. Om over alle spam nog maar te zwijgen. Met Service Pack 2 wordt hier veel aan verbeterd; scripts worden strenger gecontroleerd, downloads worden geblokkeerd als er sprake is van een gevaarlijke extensie zoals exe, com, pif en bat en plaatjes opgenomen in een e-mail worden niet langer gedownload. De url-codering in een e-mail waarmee een plaatje bij het lezen wordt opgehaald, kan immers worden gebruikt als leesbevestiging. Hierdoor weet de afzender van de spam dat het e-mailadres gebruikt wordt, waardoor u nóg meer ongewenste post krijgt. Voortaan is er een standaard pop-upblokkering in Internet Explorer. Internet Explorer Een onbeveiligde versie van Internet Explorer (IE) was tot het uitkomen van Service Pack 2 nauwelijks hanteerbaar. Ongevraagde vensters, verborgen plug-ins, scripts, dubieuze dialoogvensters en ongewenste downloads veroorzaakten veel problemen, vooral bij de minder ervaren surfer. Voortaan is er een pop-upblokkering ingebouwd. Met de nieuwe Informatiebalk boven het browservenster geeft IE aan dat items worden afgeschermd van de gebruiker. De waarschuwing van een afscherming wordt overigens niet altijd weergegeven. De zogenoemde kioskvensters – vensters zonder sluitknop – bestaan niet meer en worden standaard van sluitknop voorzien. Beeldvullende vensters zijn verbannen en vensters die zichzelf proberen te verbergen door transparant te zijn of zich buiten beeld te plaatsen, worden bestreden. Het nieuwe dialoogvenster voor het beheer van invoegtoepassingen (plug-ins) is een belangrijk hulpmiddel om opruiming te houden. Plug-ins zijn niet langer aan het oog te ontrekken. Onderdrukken van vensters en downloads Het onderdrukken van nieuwe vensters en downloads – vooral die groep die zonder waarschuwing in de Informatiebalk wordt onderdrukt – heeft belangrijke gevolgen voor het bezoeken van websites. IE kan bijvoorbeeld weigeren een link te volgen. U wacht dan tevergeefs op een venster of vervolgpagina. Het ontbreken van nieuwe vensters, essentiële paginaonderdelen die missen door een geweigerde download en actieve links die niet werken, kunnen het gevolg zijn van de meer stringente regels die IE voortaan hanteert. In de praktijk betekent dat dat websites mogelijk niet als vanouds toegankelijk zijn na de installatie van Service Pack 2, totdat de maker van de website zich aan de nieuwe regels conformeert. Delen van printers en bestanden Na installatie wordt het delen van bestanden en toegang tot het bureaublad uitgeschakeld. Met een simpele ingreep schakelt u dit in. Vanaf Service Pack 2 kent XP het verschil tussen delen op lokaal niveau en volledig delen. Delen op lokaal niveau betekent dat een dienst – in dit geval delen van printer en bestanden – alleen voor computers in hetzelfde netwerk geldt. Bevindt een computer zich samen met andere computers achter een internetrouter, dan wordt lokaal delen ingeschakeld, maar bij directe toegang tot internet niet. Volledig delen is alleen verstandig als er meerdere netwerksegmenten bestaan en elders een firewall is geïnstalleerd, die toegang tot het delen vanaf internet stopt. Met SP2 is Windows Update een stuk verbeterd. Windows Update v5 Windows Update, de website waarmee Microsoft patches en updates aanlevert is aanzienlijk verbeterd. Bij het transport naar de eigen pc wordt gebruik gemaakt van BITS 2.0, een verbeterd downloadmechanisme dat niet langer hele blokken binnenhaalt, maar alleen het verschil tussen de oude en nieuwe module. Daarnaast kunnen gedeeltelijke downloads later worden hervat. Verder kunt u downloads op een bepaald tijdstip uitvoeren, bijvoorbeeld wanneer de computer niet wordt gebruikt. BITS 2.0 vermindert de aanspraak op downloadbandbreedte, als andere applicaties op de computer gebruik willen maken van de internetaansluiting. Voor liefhebbers is het downloaden van bèta-patches mogelijk. Dep voorkomt dat virussen die van een zogenoemde buffer-overrun gebruikmaken, een programma als data starten. Dep en 64-bits extensies Nieuw voor XP is de ondersteuning van een beter geheugenbeheer. Veel virussen die van een zogenoemde buffer-overrun gebruikmaken, proberen een programma als data te starten. Met Data Execution Prevention (dep) kan dat niet langer. Instellingen hiervoor zijn terug te vinden in het eigenschappenvenster van Deze computer. Dep is een samenspel tussen geheugenbeheer-hardware in de processor en geheugenbeheersoftware in XP. De meeste Intel-processoren ondersteunen het nog niet. Het onderdeel is dan grijsgekleurd. Alle nieuwe-Intel processoren worden voorzien van deze ondersteuning. AMD Athlon64 en AMD Operon kennen het nu al. Processormakers Transmeta en VIA komen ook met processoren die dep ondersteunen. Nieuw in geheugenbeheer is dat meer dan 2 of 4 GB aan hoofgeheugen wordt ondersteund. Ook hier is ondersteuning vanuit de processor noodzakelijk. Zowel inschakelen van dep als 64-bits ondersteuning kan tot compatibiliteitsproblemen bij drivers of applicaties leiden. Een update van de software bij de betreffende fabrikant is dan noodzakelijk. Nieuw is de standaard ondersteuning van bluetooth. Wireless en bluetooth Voor bluetooth is XP niet langer afhankelijk van meegeleverde cd's: het wordt nu standaard ondersteund. Nieuw is de functionaliteit voor het makkelijk opzetten van een draadloos netwerk met een usb-sleutel. Het draadloos toegangspunt moet dan wel over usb-ondersteuning beschikken. XP gaat verder makkelijker om met hotspots. Beloofd wordt dat gebruikers minder hoeven te zoeken en in te stellen, maar daarvoor moet eerst Service Pack 1 voor Windows Server 2003 beschikbaar zijn. Pas dan komen de nieuwe instellingen volledig tot hun recht. Bedrijfsleven Voor het bedrijfsleven zal vooral Windows Firewall wennen zijn. Uitschakelen is mogelijk, maar onverstandig. Het is beter om instellingen aan te passen en de software die problemen heeft, te vervangen. Volgende versies van Windows zullen immers ook van een firewall zijn voorzien. Gelukkig biedt Microsoft hulp. Met scripts die worden uitgevoerd bij het opstarten van een pc en zogenoemde Group Policies kan een netwerkbeheerder aardig wat veiligheidskenmerken op afstand beheren voor een optimale bescherming. Voor laptops is het handig dat Windows Firewall zich binnen het bedrijf open kan gedragen en zich afsluit zodra de laptop buiten het bedrijf het internet op gaat. Onder de motorkap Ook onder de motorkap is het een en ander verbeterd. Zo zijn veel van de Windows-kerncomponenten opnieuw opgebouwd met een nieuwe compiler. In het kader van Microsofts 'Trustworthy Computing'-initiatief is tijdens deze nieuwe compilatieronde bekeken of de programmacode voldoet aan de verscherpte veiligheidseisen, waaronder de buffer-overrunprotectie waarover u eerder hebt gelezen. Toekomstige Windows-versies zullen volgens hetzelfde principe worden opgebouwd. Conclusie SP2 neemt XP flink onder handen en dat is maar goed ook. IE en Outlook waren letterlijk een bron van ellende. Lastig is het pakket maatregelen wel. De nieuwe firewall is in het begin misschien even wennen, maar hij vormt een belangrijke basisvoorziening voor de veiligheid. Ook het Beveiligingscentrum is een dankbare toevoeging voor een beter overzicht, maar uw eigen firewall of favoriete anti-virusprogramma worden mogelijk niet herkend. Tijdens het websurfen kunnen sites stil vallen, omdat scripts en nieuwe vensters worden onderdrukt. Al deze gebreken en hindernissen slijten echter na zekere tijd. Deels door gewenning, deels door updates van softwarefabrikanten en aanpassingen op websites.