... so bezeichnet zumindest MICROSOFT sein jüngstes Update Paket.
Die stolzen 265 MB für die Netzwerkinstallation unterstreichen dies zumindest. Aber auch der Funktionsumfang bzw. die Neuerungen bestätigen diese Aussage.

Mit dem neuen Service Pack 2 versucht MICROSOFT den schwierigen Spagat von mehr Komfort hin zu mehr Sicherheit, so gehen immerhin die Vielzahl der Neuerungen auf das Konto der höheren Sicherheit. Genau dies sorgt allerdings auch bei vielen Benutzern für Sorge. Vermuten sie doch Probleme mit bestehenden Anwendungen.
Nicht ganz unberechtigt. Einige Anwendungen werden mit den restriktivere Sicherheitseinstellungen Probleme bekommen. Insbesondere Programme, die auf den Internet Explorer zugreifen, können mit dessen stark verbesserten Sicherheitsfunktionen Probleme bekommen.

Bei Problemen oder Fragen zum SP2 ist unser Forum eine gute Anlaufstelle. In der Windows XP Rubrik gibt es schnelle Hilfe.
zum Forum
 

Da das SP2, wie schon oben angedeutet, ein sehr umfangreiches Update darstellt, sollte man sein System vor der Installation des SP2 mit einem geeigneten Image-Programm (Ghost, DriveImage, TrueImage, ...) sichern.

Nach dem Download wird der Anwender bei der Installation auf eine erneute Geduldsprobe gestellt. Auf unserem Testsystem (AMD 64 3000+ mit immerhin 2 GHz und 1024 MB RAM) dauerte das Update eine knappe halbe Stunde.

Bei der Installation des SP2 wird, wie schon beim SP1, im Windows Verzeichnis ein weiterer Ordner mit dem Namen "ServicePackFiles" angelegt, in dem sich das komplette SP nochmals in entpackter Form wiederfindet.
Der Ordner hat den gleichen Sinn wie schon bei Windows 2000. War es zu NT Zeiten noch so, dass man nach Änderungen am System, oder dem Einspielen von Treibern von der Orginal-CD das SP nochmals installieren musste, ist es bei XP so, dass die Files automatisch aus diesem Verzeichnis angezogen werden. Sollten irgendwelche Systemfiles von Treibern verschiedener Fremdanbieter überschrieben werden, werden sie automatisch mit den Files aus dem "ServicePackFiles"-Ordner wieder ersetzt.

Wer wenig Platz auf der Festplatte hat, kann diese Dateien auf eine andere Partition verschieben oder auf eine CD brennen.
Dazu muss man allerdings noch in der Registry unter "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Setup" den Pfad zu dem Ort der Dateien abändern. Dazu den Speicherort unter "ServicePackSourcePath" eintragen.

Nicht wundern sollte man sich, wenn der Reboot nach der Installation des SP2 ungewöhnlich lange dauert. Das SP2 hat schließlich nahezu alle wichtigen Systemdateien durch aktuellere Versionen ersetzt, und die werden erst beim Reboot an die richtige Stelle kopiert.

Wichtig:
Wer übrigens mit XPAntiSpy die "Spionagefunktionen" von Windows XP deaktiviert hat, sollte diese Einstellungen vor der Installation des SP wieder zurücksetzen, da es sonst zu Fehlermeldungen bei der Installation des SP kommen kann.
Hierzu kann in XPAntiSpy unter dem Menüpunkt "Spezial" der Punkt "Alle Einstellungen zurücksetzen" ausgewählt werden. Danach sollte der Rechner neu gestartet werden und anschließend kann das SP2 installiert werden.
 

In erster Linie wurden natürlich unzählige Updates und Sicherheitspatches installiert, zudem der Internet Explorer und der Media Player aktualisiert. Außerdem wurden für zahlreiche Hardwaregeräte neue Treiber bereitgestellt. So wurde unter anderem auch die Unterstützung von WLAN-Geräten verbessert und eine umfassende Bluetooth Implementierung eingebaut.

Nachfolgend die einzelnen Neuerungen in Stichpunkten:

Netzwerkschutz

• Warndienst und Nachrichtendienst sind nun standardmäßig deaktiviert
• Bluetooth-Unterstützung
• Neue MMC-Snap-Ins zur Verwaltung
• Neue (verschärfte) DCOM Eigenschaften
• Neue (verschärfte) RPC Eigenschaften (kein anonymer Remotezugriff auf die RPC-Schnittstellen)
• Nur noch verschlüsselte Anmeldung an WebDAV-Servern
• Windows Firewall (Standardmäßig aktiviert)
• Media Player wird auf Version 9 aktuallisiert
• Wireless Provisioning Services für WLAN
• Neuer Drahtlosnetzwerkinstallationsassistent

Speicherschutz

• Der neue Ausführungsschutz markiert bestimmte Speicherbereiche als nicht ausführbar

E-Mail-Verarbeitung

• In Outlook Express wurde ein neuer "Nur-Text-Modus" integriert
• Externe HTML-Elemente können blockiert werden.
• Mit dem neuen "Attachment Execution Service (AES)" ist die Überprüfung von Dateianhängen möglich.

Browsen

• "Download-, Anhang- und Authenticode-Erweiterungen" verändern vorwiegend das Verhalten beim Downloaden von Dateien sowie beim öffnen von Mailanhängen.
• Add-On-Verwaltung und -Absturzerkennung von Internet Explorer
• Sicherheitseinstellungen für Binärverhalten von Internet Explorer
• Reduzieren der BindToObject-Risiken in Internet Explorer
• Neue Internet Explorer-Informationsleiste
• Neue Internet Explorer Gruppenrichtlinieneinstellung
• Neue Einstellungen für die einzelnen Sicherheitszonen
• Erzwingen der MIME-Behandlung in Internet Explorer
• Zugriff auf Objektcache sicherer
• Popup-Manager
• Umgang mit signierten Inhalten verschärft
• Verhindern der Zonenheraufstufung in Internet Explorer

Computerverwaltung

• Mit dem "Filter für das Hinzufügen oder Entfernen von Programmen" kann festgelegt werden, welche Programme in der Liste der installierten Programme angezeigt werden sollen.
• Verbesserung und Ausbau des "Microsoft Windows Update Services und Automatische Updates"
• Richtlinienergebnissatz zur Auswertung der aktiven Gruppenrichtlinien
• Sicherheitscenter
• Windows Installer 3.0
• Windows Update 5.0

Andere Technologien

• Sicherheitsänderungen bei den NetSchedule- und Taskplaner-APIs
• Sperren der Schreibrechte aus USB-Geräte
• Tablet PC-Erweiterungen

Gleich nach dem Reboot die erste Neuerung, noch bevor der gewohnte Anmeldebildschirm zu sehen ist. Ein Assistent, der die Aktivierung des automatischen Updates vorschlägt, was man natürlich mit JA bestätigen sollte.

Gleich nach der Anmeldung begrüßt den Anwender die auffallendste Neuerung, das neue "Sicherheitscenter", welches auch über die Systemsteuerung verfügbar ist. Hier hat der Anwender einen schnellen Überblick über die drei Hauptsicherheitsmerkmale. Die Firewall, das automatische Update, sowie den Virenschutz. In unserem Beispiel ist noch kein Virenscanner installiert, was Windows XP natürlich sofort auffällt und hier entsprechend rot bemängelt. Bei Rechnern, die Mitglied einer Domäne sind, werden eventuell einzelne Bestandteile des Sicherheitscenters nicht verfügbar sein, da die Konfiguration hier über Gruppenrichtlinien gesteuert wird.

Die "automatischen Updates" sollten wie oben schon erwähnt unbedingt aktiviert bleiben bietet sie doch eigentlich nur Vorteile.
In der Vergangenheit war es meist so, dass Viren und Würmer bekannte Sicherheitslücken ausgenutzt haben, für die eigentlich schon lange entsprechende Sicherheitsupdates verfügbar waren. Dies war beim BLASTER-Wurm genauso wie beim SASSER-Wurm der Fall. Leider waren die Patches auf der Mehrzahl der Rechner - gerade im Home-Bereich - nicht installiert.
Genau hier setzt der überarbeitete Dienst an. Zukünftig werden die Updates durch ein neues Bit-zu-Bit-Vergleichsverfahren (Binary Delta Compression) erheblich kleiner, da nur doch die tatsächlichen Änderungen übertragen werden. Zudem erkennt das Updateverfahren die momentane Belastung des Internetzugangs und passt den Download der Patches entsprechend an, sodass der Anwender möglichst wenig gestört wird. Das ganze Prozedere incl. der Installation läuft, entsprechend konfiguriert, vollständig im Hintergrund ab.
Noch ein kleiner Vorteil, der aber vor allem den Systemadministratoren zugute kommt, ist die Tatsache, dass Abhängigkeiten einzelner Updates nun leichter erkennbar sind und einzelne Patches nun auch leichter deinstallierbar sind.

Eine weitere sehr sinnvolle Neuerung ist die neue "Windows Firewall", welche die bisherige "Internet Connection Firewall (ICF)" abgelöst hat. Sie blockt unerwünschte Zugriffe von außen. Netzwerkverkehr von innen wird dagegen immer zugelassen. Während die bisherige Firewall eher ein Schattendasein fristete, rückt sich die neue Variante schon alleine dadurch in den Vordergrund, dass sie standardmäßig für alle Netzwerkinterfaces aktiviert ist. Neu ist auch, dass der Anwender bereits beim Bootvorgang geschützt ist. Die neue Firewall läßt in dieser Zeit nur bestimmte Netzwerkdienste wie DHCP und DNS zu, erst nachdem die notwendigen Netzwerkdienste korrekt geladen sind, gibt die Firewall die restlichen Netzwerkfunktionalitäten frei. Eine zusätzliche Neuerung ist der bessere Schutz der "Datei- und Druckerfreigabe". Die neue Firewall sorgt dafür, dass die Freigaben per Default nur noch im lokalen Subnet erreichbar sind. Für einzelne Programme und Ports lassen sich natürlich Ausnahmelisten erzeugen, die allerdings nur mit Adminrechten verwaltet werden dürfen. Mit dem Firewall-Netsh-Helper erhalten Administratoren ein Kommandozeilen-Tool, um die XP-Firewall ohne grafische Oberfläche zu konfigurieren. Damit lassen sich Firewall-Regeln in einem Login-Skript verarbeiten. Natürlich sind auch entsprechende Vorgaben über die Gruppenrichtlinien möglich. Die Windows-Firewall blockiert nur kommende Verbindungen sowie Programme, die Serverdienste benötigen. Alle (aus)gehenden Verbindungen – z.B. durch Browser oder E-Mail-Software – werden nicht blockiert. Mit kommenden Verbindungen sind Programme gemeint, die Verbindungen aus dem Internet annehmen, d.h. sie nehmen selbst Anfragen entgegen und beantworten sie. Unter anderem machen dies die verschiedenen Instant Messenger oder FTP-Programme. Ein solches Verhalten blockt die Firewall erst einmal ab. Beim der ersten Anfrage an ein Programm wird allerdings eine Abfrage erscheinen, bei der man das Programm für die Zukunft freischalten, blocken oder einmalig freigeben kann.

Kommen wir nun zum Internet Explorer, auch hier gab es eine handvoll Verbesserungen. Für den Anwender am auffälligsten der neue Popup-Blocker. Einstellen läßt sich im Internet Explorer unter EXTRAS - POPUPBLOCKER zwar nicht viel, außer der Ausnahmeliste, dafür arbeitet er aber sehr effektiv. Interessanter ist da schon eher die "Add-On"-Verwaltung, die ebenfalls unter EXTRAS zu finden ist. Hier können sämtliche ActiveX-Controlls verwaltet werden, die im Internet Explorer aktiv sind. Weitere sehr sinnvolle Neuerung ist die Informationsleiste, die immer dann im oberen Bereich des Browsers aktiv wird, wenn ein Popup-Fenster geblockt wird, potentiell schädlicher Inhalt wie ActiveX ausgeführt werden soll, oder eine Webseite einen Download direkt ausführen will. Außerdem wurde das Zonenmodel etwas angepasst und das MIME-Händlich strenger gehandhabt. Letztendlich können nun endlich auch die Einstellungen für den Internetexplorer leichter mit den Gruppenrichtlinien verteilt werden.

Auch im Hinblick auf die Sicherheit, aber sicher auch auf drängen zahlreicher User, wurde nun der Nachrichtendienst sowie der Warndienst per Default deaktiviert. MICROSOFT empfiehlt die Nutzung anderer Möglichkeiten um Nachrichten im Netzwerk zu versenden.

Erwähnenswert sind außerdem noch die nun implementierte Bluetooth-Unterstützung, und der neue Assistent zum Einrichten drahtloser Netzwerkverbindungen.
Beim RPC-Service (Remote Procedure Call) hat Microsoft ebenfalls nachgebessert. Der Service läuft nur noch mit reduzierten Privilegien und akzeptiert in der Standardeinstellung nur noch authentifizierte Verbindungen. Eine weitere Neuerung, die aber eher für Unternehmensnetzwerke interessant sein dürfte, ist die Funktion zum sperren des Schreibzugriffs auf USB-Geräte (also auch auf Memory-Sticks), womit Datenklau vorgebeugt werden kann.

Eher kosmetischer Natur ist die Tatsache, dass Updates (sofern sie vom Hersteller als solche gekennzeichnet sind) in der Softwareübersicht der Systemsteuerung per Default nicht mehr angezeigt werden. Erst nach dem aktivieren eines entsprechenden Kontrollkästchens im oberen Bereich werden sind sie wieder zu sehen.

Zum Schluß noch ein Feature, welches nur Benutzern zugute kommt, die einen INTEL Itanium oder einen der 64-Bit-Prozessoren von AMD ihr Eigen nennen, denn nur hier greift die "Datenausführungsverhinderung". Diese "Data Execution Protection" oder kurz DEP nutzt einen Mechanismus der Prozessoren, der verhindert, dass Speicherinhalte aus Speicherbereichen, die eigentlich nur Daten enthalten sollten, ausgeführt wird. Ein sehr wirksamer Schutz gegen viele Viren. die Speicherüberläufe nutzen, um auf dem Rechner fremden Code auszuführen, der als Daten getarnt auf den Rechner gelangt sind. Wer also einen solchen Prozessor einsetzt, findet in der SYSTEMSTEUERUNG unter SYSTEM - ERWEITERT - SYSTEMLEISTUNG eine Karteikarte mit dem langen Namen "Datenausführungsverhinderung". Per Default ist die Funktion nur für wichtige Programme und Dienste des Betriebssystems Windows aktiviert, kann auf Wunsch aber auch für alle Programme und Dienste (mit Ausnahme der ausgewählten) aktivieren werden.

Gründe um das Service Pack 2 in die Windows XP CD zu integrieren gibt es viele. Sei es nun, aus Bequemlichkeit, um sich die Installation des Service Packs bei zukünftigen Neuinstallationen zu ersparen, oder für größere Rollouts in einem Netzwerk. Praktisch ist es auf alle Fälle.
Was man dazu benötigt ist nicht viel. Die Original-CD von Windows XP, oder eine CD auf der bereits das SP1 integriert ist. Das SP2 als Netzwerkinstallation (165 MB), einen Rohling, den Bootblock für die bootfähige CD und eine Brennsoftware, in unserem Beispiel AHEAD Nero.

• Windows XP CD
• Service Pack 2 als Netzwerkinstallation
  http://download.winboard.org/downloads.php?release_id=680
• Bootblock für bootfähige CD
  http://www.winpage.info/download/downloads.php?release_id=238
  http://download.winboard.org/downloads.php?release_id=681
• AHEAD Nero
  http://www.ahead.de

Um nun das Service Pack 2 in die Windows XP CD zu integrieren erstellen wir als erstes einen Ordner „WinXP_CD“ in unserem Fall auf der Partition P: und kopieren den gesamten Inhalt der Original-CD in diesen neuen Ordner.

Als nächstes laden wir uns das neue Service Pack 2 von der MICROSOFT-Webseite und ändern den Namen von „WindowsXP-KB835935-SP2-DEU.exe“ nach „WinXP_SP2.exe“. Dies dient einfach der besseren Übersicht, damit die einzelnen Befehle hier nicht allzu unübersichtlich werden.

Nun folgt das eigentliche Integrieren des Service Packs. Hierzu rufen wir über START – AUSFÜHREN das Service Pack mit dem Parameter /INTEGRATE auf. Weitere Optionen lassen sich übrigens mit dem Parameter /HELP anzeigen.

Diese Option hieß beim Service Pack 1 noch /S für „Slipstream“. Als Pfad muss der Ordner, in dem sich die Originaldateien befinden, angegeben werden. In unserem Fall also der zu Anfangs erstellte Ordner „P:\WinXP_CD“. Der Aufruf heißt dann also "P:\WinXP_SP2.exe /integrate:P:\WinXP_CD".

Anschließend wird das Service Pack automatisch in das Installationsverzeichnis integriert, was schon mal ein paar Minuten dauern kann. Danach haben wir praktisch schon das, was wir wollten. Ein Windows XP Setup mit integriertem SP2 im Ordner P:\WinXP_CD. Nun muss das ganze nur noch auf eine CD gebrannt werden.

Dazu Starten wir „AHEAD Nero“ ohne den integrierten Wizard.
Unter „DATEI“ erstellen wir über „NEU“ ein neues Projekt. Als CD-Typ wählen wir „CD-ROM (Boot)“.

Als Imagedatei wählen wir den in der Einleitung erwähnten Bootblock (xpboot.bin). Damit die Datei über den „Durchsuchen …“ Button gefunden wird, muss man allerdings die Suche nach „Alle Dateien …“ erweitern, ansonsten werden keine Dateien mit der Endung *.BIN angezeigt.
Bei den Experteneinstellungen wählen wir als Art der Emulation „Keine Emulation“, außerdem ändern wir die Anzahl der zu ladender Sektoren auf „4“. Anschließend muss lediglich noch unter „Titel“ die Bezeichnung der CD eingegeben werden, wie sie auch auf der Original-CD angezeigt wird. In unserem Fall wäre dies „WXPVOL_DE“. Nun noch abschließend unter dem Reiter „Brennen“ die Schreibmethode „Disc-at-Once“ auswählen. Nach einem Klick auf „Neu“ gelangen wir nun zur Dateiauswahl. Hier ziehen wir per Drag&Drop den gesamten Inhalt des Ordners „WinXP_CD“ nach links auf unsere neue CD.

Nach erfolgreichem Brennvorgang steht nun eine Windows XP CD mit integriertem Service Pack 2 zur Verfügung.
 

Nachfolgend ein paar Links zu nützlichen Informationen zum Service Pack 2

• 811113 - Liste der gefixten Bugs in SP2
• 884130 - Programme mit Problemen mit SP2
• 842242 - Programme mit Problemen mit der Firewall
• 875357 - Beheben von Problemen mit Einstellungen der Windows-Firewall in Windows XP SP2
• 875351 - Fehlermeldung "Datenausführungsverhinderung" wird unter Windows XP SP2 angezeigt
   
• Changes to Functionality in Microsoft Windows XP SP2
• Diese Funktionsänderungen bringt Microsoft Windows XP SP2
• Windows XP SP2 - Einstellungen für die Windows Firewall bereitstellen
• Update.exe - der Paketinstaller für Windows und Windows-Komponenten
• Handbuch zum Installieren und Bereitstellen von Windows XP SP2
• Handbuch zum Installieren und Bereitstellen von Updates für Windows XP SP2
• Der neue Drahtlosnetzwerkinstallations-Assistent von Windows XP SP2
• Konfiguration der Windows Firewall von Windows XP SP2 über eine INF-Datei
• Die neuen Netzwerkfeatures von SP2 für Windows XP
   
• Microsoft Baseline Security Analyzer v1.2.1
   

• Wenn man Windows XP-Computer mit aktivierter Windows Firewall remote administrieren möchten, dann muss auf diesen Rechnern der TCP-Port 445 geöffnet werden. Dazu in der Eingabeaufforderung folgenden Befehl verwenden: "netsh firewall set portopening TCP 445 ENABLE". Alternativ funktioniert dies natürlich auch über die Firewalleinstellungen in der Systemsteuerung (Ausnahmen).
   
• Wenn andere Computer in der Arbeitsgruppe nicht mehr sichtbar sind, muss die ICMP-Echoanforderung (unter ERWEITERT bei den Firewalleinstellungen in der Systemsteuerung) oder der Datei- und Druckerfreigabe aktiviert werden.
  Gleiches gilt für Freigaben, die nicht mehr erreicht werden können. Auch hier muss die Datei- und Druckerfreigabe aktiviert werden.
   
• Sobald die Datei- und Druckerfreigabe aktiviert wird, werden die TCP-Ports 139, 445 sowie die UDP-Ports 137 und 138 geöffnet.
   
• Wen die Sprechblasen des Sicherheitscenters stören, die auf fehlende Komponenten oder nicht aktuelle Virenscanner hinweisen, der kann dies explizit deaktivieren.
  Dazu kann man im Sicherheitscenter auf der linken Seite die "Warneinstellungen des Sicherheitscenters ändern"
   
• Zum sperren des Schreibzugriffs auf USB-Geräte (Memory-Sticks, ...) muss in der Registry der DWORD-Wert für "WriteProtect" unter "HKEY_LOCAL_MACHINE \ System \ CurrentControllSet \ Control \ StorageDevicePolicies" von "0" auf "1" geändert werden.
  Sollte der Schlüssel "StorageDevicePolicies" noch nicht existieren, muss er neu erstellt werden.
   
• Um standardmäßig immer alle Programme, also auch die Updates, unter SYSTEMSTEUERUNG - SOFTWARE anzuzeigen, sollte man in der Registry unter "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Uninstall \ DontGroupPatches" den DWORT-Wert von "0" auf "1" ändern.
  Auch hier muss der Schlüssel "Uninstall" erstellt werden, sollte er noch nicht existieren.
   
• Vereinzelt kann beim Update eine Fehlermeldung im Zusammenhang mit der ATAPI.SYS auftreten. Die Fehlermeldung erscheint allerdings nur während der Sicherung der alten Systemdateien und kann daher einfach ignoriert werden.
  Der Grund für den Fehler liegt vermutlich an einem virutuellen CD-ROM Laufwerk, wie es verschiedene Brennprogramme erzeugen.
   
• Wer sich wundern sollte, warum sein Rechner nicht mehr per PING im Netzwerk erreichbar ist, der sollte sich einmal die ICMP-Einstellungen der Firewall anschauen. Das "Internet Message-Protokoll" (ICMP) ermöglicht Computern im Netzwerk, Fehler und Statusinformationen gemiensam zu nutzen. Zu diesen Informationen gehören auch die Echoanforderungen, zu denen auch der PING-Befehl zählt. Die Firewall blockiert per Default erst einmal alle solche Anfragen nach Informationen, da sich auch von Hackern dazu verwendet werden können um herauszufinden, über welche Ports das System verwundbar ist.
  An die Einstellungen gelangt man über die SYSTEMSTEUERUNG unter WINDOWS-FIREALL - ERWEITERT - ICMP