Diensten activeren en deactiveren

> Index <

Wat gebeurt er onder de motorkap?

Automatische feedback geven via het internet

Diensten

Windows Taakbeheer

What's Running?

Wie dienen uw diensten?

Hoe worden programma's en diensten opgestart?

Hulpprogramma voor systeemconfiguratie

Windows logboeken

Gedistribueerde verwerking

Component Object Model (COM)

Windows versnellen

Spyware

Systeemherstel

Windows Bestandsbeveiliging (WFP)

Microsoft activatiedienst

Commerciële diensten





Bijlage 1. Een overzicht van de Windows XP Home diensten





Wat gebeurt er onder de motorkap?

> Top <

Windows XP zou sneller opstarten dan zijn voorgangers, maar de schijn bedriegt. U ziet weliswaar eerder de Startknop en de rustgevende afbeeldingen van de Windows Desktop met de naam Verkenner, maar achter de schermen worden nog allerlei diensten opgestart. En de Verkenner zal pas adequaat reageren als de meeste diensten zijn opgestart. Dus als de groene LED lampjes van de vaste schijf ophouden te knipperen.

Als u via de Verkenner een map of een menu opent en een zandloper ziet, betekent dit meestal dat Windows op de achtergrond nog bezig is wat diensten (services) op te starten. Of dat de slechts als pictogram geladen objecten (mappen, programma's ) nog niet in het geheugen geladen zijn. De Verkenner spiegelt u een beeld van uw data en programma's voor, maar het is een virtuele spiegel. Dat wat u ziet is niet per se wat er daadwerkelijk gebeurd.

In principe zijn de diensten nodig om het Windows systeem en uw Windows programma's beter te laten functioneren. Maar dan wel volgens de inzichten van Microsoft en andere software en hardware leveranciers. Waarbij ieder programma als eerste wil verschijnen. Ook al gebruikt u het niet.

Zo verschijnen in uw Opstarten folder zogenaamde programma update diensten die u zelden updates opleveren, maar die ondertussen wel dagelijks de statistieken van uw marketingsafdeling van uw softwareleveranciers bedienen. Dergelijke update diensten zijn eigenlijk een vorm van spam.

En ook Microsoft start diensten op die Microsoft feedback opleveren, maar het is onduidelijk welk belang u er hierbij heeft.

Automatische feedback geven via het internet

> Top <

Stel u opent een van het internet gedownload bestand. U wilt het openen met de Verkenner, maar voordat MediaPlayer er iets mee kan doen, crasht de Verkenner. U ziet vervolgens een pop-bericht verschijnen met de vraag of Windows een rapport naar Microsoft mag versturen.

Wilt u dan aan Microsoft dan een gedetailleerd rapport verzenden over wat u op uw computer uitvoerde? Het rapport wordt vertrouwelijk en anoniem behandeld zegt Microsoft. Uw foutmeldingen en missers mogen in ieder geval niet op het internet worden gepubliceerd.

Maar wat er precies mee gedaan wordt, is maar de vraag. Ooit wordt de Verkenner (explorer) er misschien mee "verbeterd", zodat u er bij een al dan niet gratis update er misschien van kunt profiteren. Maar verbeterd staat hier tussen aanhalingstekens. Misschien bedenkt Microsoft met uw feedback wel verbeterde manieren om u ervan te weerhouden om "illegale content" van het internet te downloaden...

Verzendt dus alleen een rapporten u er zeker van bent dat u 100% legale dingen op uw PC doet. En als u toch 100% legaal bezig bent, dan kunt u misschien beter van de Microsoft Helpdesk gebruik maken. Als u tenminste de volle bak betaald hebt voor een niet OEM systeem. Want als u Microsoft Windows goedkoop via uw OEM computerleverancier hebt gekocht, hebt u geen recht tot klagen.

Diensten

> Top <

Diensten zijn programma's die op de achtergrond lopen. U ziet ze niet in de Windows Taakbalk van uw scherm. Ze dienen andere programma's en het besturingssysteem. U kunt ze vergelijken met de facilitaire diensten van een bedrijf. U kunt diensten expliciet aanroepen, maar meestal verrichten ze hun taken automatisch op de achtergrond.

Sommige diensten worden aan andere computers op het netwerk uitbesteed. Een goed voorbeeld is de domein namendienst (DNS) waarmee uw TCP/IP stack computernamen in IP adressen vertaald. De DNS is overigens een over duizenden computers gedistribueerde dienst. Maar ik beperk me nu tot de lokale diensten op uw PC.

Al uw programma's - of ze nu een dienst of een kerntaak vervullen - zijn op de schijf te vinden als uitvoerbare bestanden. De programma's bevinden zich op de vaste schijf, maar ze doen pas wat als als ze in het geheugen geladen zijn. Pas dan krijgen ze processortijd.

Uitvoerbare bestanden zijn er in verschillende vormen.

Een in het geheugen geladen programma met zijn bibliotheken noemt men een proces.

Het in het geheugen laden en draaien van processen kost CPU-tijd en geheugen. Hoe meer en omvangrijker diensten u draait, des te trager wordt uw systeem. Dat speelt vooral als uw computer over weinig werkgeheugen beschikt. Wie tevreden Windows 9x op een systeem met 128 MB geheugen draaide en vanwege zijn internet aansluiting en een virusscanner en firewall installeert, weet hoe stroperig Windows dan wordt. Want dan worden extra diensten op de achtergrond geladen. Vooral een virrusscanner gebruikt veel werkgeheugen en CPU-tijd, aangezien het alles controleren moet wat u doet.

De oorzaak is een gebrek aan werkgeheugen. Hierdoor kunnen minder programmacode en gegevens in het fysieke geheugen voor de processor klaar worden gezet. De processor moet steeds wachten totdat de te bewerken data en code (de werkset van het programma) in het werkgeheugen geladen zijn. Het verplaatsen van gegevens tussen het werkgeheugen en de trage vaste schijf kost veel tijd. Als uw vaste schijf lampje na iedere muisklik brandt, moet u waarschijnlijk meer geheugenmodules (laten) installeren.

Maar ook dan zult u zien dat fysiek RAM niet alles is. Omdat het vele malen trager is dan de processor. Eigenlijk dient de werkset (dat wat de computer momenteel doet) aldoor en grotendeels in het cache geheugen van de processor geladen te zijn. Anders draait deze vooral rondjes in het idle process. De zogenaamde Niet-actieve systeemprocessen in het Windows Taakbeheer.

Windows Taakbeheer

> Top <

Als u wilt weten welke voor- en achtergronddiensten er lopen tikt u Ctr-Alt-Del (CAD). U komt dan in het venster Windows beveiliging en kiest voor Windows Taakbeheer. Rechtsklikken op de Taakbalk kan ook. In de veilige modus komt u meteen in het Taakbeheer.

Er zijn toepassingen die veel meer informatie over lopende processen bieden. Een voorbeeld hiervan is What's Running?. Maar het grote voordeel van Windows Taakbeheer (taskmgr.exe) is dat het overal beschikbaar is en via de door Windows gereserveerde toetsenbordcombinatie Ctr-Alt-Del (CAD) ook oproepbaar is als de Verkenner vastloopt. In feite werkt het Taakbeheer dan als een alternatieve grafische schil.

Als de Verkenner (explorer.exe) vastloopt kunt u hem in het tabblad Processen van het Taakbeheer selecteren en via een rechter muisklik als proces beëindigen. Om de Verkenner daarna weer via Bestand / Nieuwe taak (Uitvoeren...) als C:\WINDOWS\explorer.exe fris op te starten. En het grappige is dat uw andere Windows applicaties, zoals OpenOffice.org waar ik deze tekst nu in schrijf, gewoon doorlopen. Zodat u uw gegevens niet kwijt hoeft te raken. Kortom het loont (onder NT, 2000 en XP) zeer de moeite om met het Windows Taakbeheer te leren werken.

Het eerste tabblad met de naam Toepassingen laat alleen de expliciet door u of via een startup folder geladen grafische toepassingen zien. Toepassingen die altijd lopen zoals de Verkenner ziet u niet. Verder beperkt het overzicht zich tot toepassingen die in een venster lopen.

Handig aan het tabblad Toepassingen is de mogelijkheid om een toepassing te selecteren, rechts te klikken en via Ga naar proces naar zijn proces te gaan. Op die manier kunt u de herkomst van onbekend pop-up venster identificeren.

Onder het tabblad Processen ziet u namen van de in het virtuele geheugen geladen processen. Op de afbeelding hiernaast lopen 38 processen, waarvan sommige (svchost.exe) meerdere malen voorkomen. Sommige processen zijn klein, andere zijn groot. U ziet in de tweede kolom onder welke gebruikersnaam ze lopen. Systeemdiensten draaien als SYSTEM, netwerkservice of als Lokale service. Hun gebruikersrechten zijn er op aangepast. Ik ben hier zelf als gebruiker sjoerd ingelogd , maar draai iexplore.exe als Eigenaar om een Windows update uit te voeren. Hier gedraagt Windows XP zich dus als een multi-user besturingssysteem.

De processen gebruiken processortijd (CPU, 3e kolom) en meer of minder virtueel geheugen (Geheugengebruik, 4e kolom).

Het programma met de naam Niet-actieve systeemprocessen consumeert de klokcycli die niet door de programma's gebruikt worden (system idle time). In dit geval werd 83% van de processortijd niet benut. Het geeft de betrekkelijkheid van een processor-upgrade aan. Alleen tijdens spitsuren (opstarten, spelen) merkt u snelheidswinst.

Bij het totale Geheugengebruik onderaan ziet u twee getallen. Het eerste getal (hier 187800) verandert aldoor. Dit is het door Windows voor het systeem en de programma's gereserveerde virtuele geheugen in kilobytes. Het tweede getal (hier 372208) is het beschikbare geheugen in kilobytes. Het bestaat uit het fysieke geheugen (hier 172 MB op te vragen in Deze Computer/Eigenschappen/Algemeen) en het wisselbestand C:\PAGEFILE.SYS dat bij mij 213.090.504 bytes (204 MB) groot is.

Het spreekt vanzelf dat het fysieke geheugen (RAM) en het wisselbestand (het tweede getal) voldoende groot moeten zijn om Windows' behoefte aan virtueel geheugen te dekken (het eerste getal). Anders zullen programma's met een gebrek aan virtueel geheugen weigeren op te starten. Maar als teveel code in het wisselbestand terecht komt (het eerste getal is veel groter dan uw fysieke RAM) zult een traag en instabiel systeem krijgen.

What's Running?

> Top <

Het programma What's Running? geeft veel meer informatie en kan via de optie Processes / Get info online het proces in zijn database opzoeken. In de Veilige Modus draaien er bij mij maar een paar processen: [System process], System, smss.exe, csrss.exe, winlogon.exe, services.exe, lsass.exe, svchost.exe en explorer.exe.


Dit zijn dus de meest essentiële Windows processen. Maar mijn virusscanner, firewall en spyware protectie mechanismen draaien nu niet!

Ga dus niet zomaar in de zogeheten Veilige modus met netwerkverbindingen het internet op. U draait de Veilige modus meestal als beheerder (nooit veilig) en u kunt niet rekenen op enige bescherming. Het enige voordeel is dat u in veilige modus niets installeren kunt. Microsoft verstaat onder Veilige modus niet zo zeer een veilige computer, maar eentje die alleen met de meest basale stuurbestanden en Windows diensten opstart. Dat kan nuttig zijn als Windows vastloopt als u de verkeerde versie van het hardware stuurbestand of de virusscanner hebt geïnstalleerd. U kunt ze dan in Veilige modus deïnstalleren.

Wie dienen uw diensten?

> Top <

Diensten zijn blijkbaar nodig om Windows programma's beter te laten lopen, maar wordt u hier zelf ook beter van? Wie bepaalt eigenlijk welke diensten er op uw systeem lopen? Wat ze doen en voor wie ze werken? En hoe werd die keus gemaakt?

Het lijken voor een computerleek oninteressante vragen. Als Windows het maar doet. Maar als ik u nu eens vertel dat virussen, spiedende spyware, spammende wormen en andere halfgare programma's (malware) ook als dienst opstarten, dan begrijpt u dat deze vraag ertoe doet. Bent u er echt zo zeker van dat Windows doet wat u wilt? Misschien hebben u en uw kinderen wel allerlei programma's en diensten op uw computer geïnstalleerd zonder dat u het wist.

Dat gebeurt helaas maar al vaak. Windows wordt meestal zo afgeleverd, dat iedere onbenul er mee kan werken. U hoeft maar ergens op te klikken en een installatie vindt automatisch plaats. Kwaadaardige programma's maken hier gebruik van. Maar in tegenstelling tot de gewone programma's zullen ze niet in uw startmenu verschijnen. Ze starten liever stiekem op. De beruchte rootkits zullen zelfs niet in de Taakbeheer of de Verkenner verschijnen. Ze verstoppen zichzelf.

Wat voor soort diensten draaien er eigenlijk?

  1. De belangrijkste diensten horen bij het Windows besturingssysteem. Sommige Windows diensten zijn essentieel. Ze worden al bij het opstarten ingeschakeld. Maar er zijn ook onnodige netwerkdiensten die automatisch door Windows worden opgestart (MS RPC). Andere Windows XP diensten zijn optioneel. U moet ze zelf instellen en soms ook apart installeren. Denk hierbij aan NetBIOS, TCPBEUI en Beheer op afstand.

  2. Ander diensten komen met gebruikersprogramma's. Viruscanners en firewalls werken als achtergronddienst. U moet ze installeren. Maar dat gaat niet altijd zo expliciet. Het komt regelmatig voor dat een dienst ongevraagd bij een gebruikersprogramma of zelfs in een databestand meegeleverd wordt. Het door u geopende installatieprogramma werkt dan als een Trojaans Paard.

Veel gratis programma's bevatten spyware. Programmatuur waarmee uw surf- en computergedrag in de gaten wordt gehouden. Hiermee bent u niet gediend, tenzij u het een goede manier vindt om op licentiekosten te besparen. In het gunstigste geval volgt de spyware slechts uw surfgedrag, maar in ongunstige gevallen stelen deze spionnen veel meer.

Andere programma's bevatten kleine tools die naar nieuwe versies (updates) speuren. Soms is dat nuttig (java updates), maar heel vaak is het een opdringerige vorm van reclame.

U zult regelmatig diensten via het internet installeren als u als beheerder surft. Moderne browsers doen meer dan alleen teksten en plaatjes weergeven. Met de uitbreidingen van de browser (plug-ins), kunnen ook spelletjes op uw computer opgestart. Maar als u gewoon als gebruiker met beperkte rechten surft, zult u zelden nieuwe programma' s op NTFS systeemmappen kunnen installeren.

Hoe worden programma's en diensten opgestart?

> Top <

Windows kan op zeer veel manieren programma's opstarten. Voor een leek is dit niet te overzien. Die kent slechts het Startmenu en klikt wat in de Verkenner. Maar dat is niet wat ik bedoel. Windows kan ook programma's laden zonder dat u het weet. Virusschrijvers en crackers gebruiken die mogelijkheid om malware te installeren en automatisch op te laten te starten.

Het is het goed dat u hier enige weet van hebt. Want u bent ook verantwoordelijk voor de programma's die ongemerkt op uw computer lopen. Als uw auto olie lekt, kunt u zich niet op een "weet ik veel" beroepen. U moet dat zelf controleren. En zo is het ook met uw programma's. Ik ben maar een digibeet is geen argument.

Hoe achterhaalt u eigenlijk welke programma's actief zijn?

Een manier heb ik al genoemd. Dat is via het Windows Taakbeheer. Vervolgens moet u achterhalen wat ze uitspoken. Maar dan hebt u een probleem. Zelfs computerexperts weten niet exact wat Windows doet. Vrijwel al uw in licentie verkregen programma's zijn immers closed source software waar de programmamakers geheimzinnig over doen. Ook open source software komt met een disclaimer (alle gebruik is voor eigen risico). Maar als betaalde software niet doet wat ze u belooft, kunt u zich in ieder geval bij uw leverancier beklagen.

Maar er starten ook programma's op zonder dat u er weet van hebt. U hebt ze geïnstalleerd door bijvoorbeeld ergens op te klikken: op een emailbericht, een CD of DVD of de popup van een website. Misschien hebt u wel eens via peer-to-peer software een Trojaans paard geïnstalleerd. U gelooft toch ook niet dat al die softwarekrakers puur uit liefdadigheid hun Warez op het internet zetten?

Op welke manieren worden programma's (automatisch) gestart?



Snelkoppelingen in opstartmapen

Snelkoppelingen naar programma's in de map Opstarten (Eng: Startup) worden als automatisch door de grafische shell (Verkenner) uitgevoerd. U zult vaak dubieuze software in opstartmappen aantreffen. Ik maak meestal een tweede map (Opstarten nu niet) aan waar ik deze tijdelijk in parkeer totdat ik er meer van weet.

Waar zitten deze automatische programma opstartmappen?

De map C:\Documents and Settings\Piet\Menu Start\Programma's\Opstarten is de persoonlijke opstartmap van XP gebruiker Piet.

De map C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten geldt voor alle XP gebruikers.

U onderzoekt ze door op Start / Programma's rechts te klikken en de Verkenner te selecteren.

Onder Windows NT en 2000 staat de opstartmap voor alle gebruikers in C:\Winnt\Profiles\All Users\Start Menu\Programma's\Opstarten en in Windows 9x, 98 en Me in C:\Windows\Start Menu\Programma's\Opstarten.

De eerder genoemde startup folders vindt u inde registry terug:

Start / Uitvoeren/ regedit typen.
Bewerken/ Zoeken (Ctr-F)
"Shell Folders" invoeren
Bewerken/Volgende zoeken (F3)

U komt in:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders (Startup= en Common Startup"=)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders (Startup= en Common Startup"=)

Een hacker of grapjas kan hier zijn eigen waarden invoeren op lokaties die u niet verwacht. Alle snelkoppelingen uit die folder worden dan uitgevoerd, maar niet de virusscanner die in de oorspronkelijke map Opstarten stond. Het is een goede reden om nooit op een onbekend reg(istry)-bestand te klikken. En om ook niet als beheerder het internet op te gaan, want dan kan iedereen uw Windows systeem naar zijn behoeften aanpassen.

De registry

De Windows registry bevat veel ingangen waarmee programma's opgestart kunnen worden. Hierbij moeten we onderscheid maken tussen programma's die als een zelfstandig proces lopen (een zichtbare programmanaam.exe of cmd.exe in het Windows Taakbeheer) en programma's die onder de hoede van een ander programma lopen.

Bij de laatste gaat het om uitbreidingen. Deze bibliotheken en plugins zijn verraderlijk, want ze wijzigen de eigenschappen van de u vertrouwde programma's (Verkenner, MSIE) zonder dat u het weet. Een goede firewall kan echter wel een melding geven als aan een programma een DLL bestand toegevoegd of veranderd is, maar het is de vraag of u op dat moment het gevaar onderkent.

Hoe vindt u die programma's in de registry? De veiligste manier is om het hulpprogramma voor systeemconfiguratie MSCONFIG ( zie volgende hoofdstuk) te gebruiken. Maar om te zien hoe ingewikkeld (onoverzichtelijk) het is, kunt u als beheerder de registratie-editor opstarten en naar run-ingangen zoeken:

Start / Uitvoeren/ regedit typen.
Bewerken/ Zoeken (Ctr-F)
Sleutels aanvinken
"Run" invoeren
Bewerken/Volgende zoeken (F3) totdat u het einde bereikt.

Zoek de run mappen in het linker venster. De applicaties ziet u rechts.

Registry lokaties (sleutelnamen) waar u tegenaan loopt zijn:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Ook via exe, com, bat, hta en pif bestanden kunnen andere dan de bedoelde exe-bestanden automatisch uitgevoerd worden. Het gaat om de HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %* sectie van de registry.

HKEY_CLASSES_ROOT\exefile\shell\open\command @="%1" %*

HKEY_CLASSES_ROOT\comfile\shell\open\command @="%1" %*

HKEY_CLASSES_ROOT\batfile\shell\open\command @="%1" %*

HKEY_CLASSES_ROOT\htafile\Shell\Open\Command @="%1" %*

HKEY_CLASSES_ROOT\piffile\shell\open\command @="%1" %*

HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command ="\"%1\" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command ="\"%1\" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command ="\"%1\" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command ="\"%1\" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command ="\"%1\" %*"

De sleutelwaarde "%1" %* is normaal, maar een sleutelwaarde malprog.exe "%1 %*" zal iedere keer bij het op starten van een exe, com, bat, hta en pif bestand malprog.exe laden.

16 bits Windows INI bestanden

De van Windows 3x overgenomen win.ini en systeem.ini bestanden staan in de hoofdmap van Windows. Ze ondersteunen 16 bits Windows applicaties.

In WIN.INI zoekt u naar:

[windows]

load=programma1.exe

run==programma.exe

Onder NT/W2K en XP zijn 32 bits run en load te vinden in onder de sleutelnaam: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

In SYSTEM.INI gaat het om:

[boot]

Shell=Explorer.exe

De laatste ingang wordt niet door XP gebruikt, maar wel door de oude Windows versies. XP start Explorer.exe via de registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Het bestand c:\windows\wininit.ini wordt gebruikt om geladen en dus vergrendelde bestanden te bewerken (How To Move Files That Are Currently in Use).

DOS bestanden

Het bestand c:\windows\winstart.bat laadt programma's als Windows opstart. Op een schone XP installatie is het bestand afwezig.

Oude Windows versies kunnen DOS programma's laden via AUTOEXEC.BAT.



Er zijn nog veel meer methoden om malware te laden. U vindt een opsomming in Places that viruses and trojans hide on start up. Maar de lijst is nog verre van volledig, omdat ze alleen de gewone opstartmethoden noemt en niet de lekken in programma's. Want ook Internet Explorer of Mozilla kunnen bedoeld (plugins, browser-extensies) of onbedoeld als lanceerplatform van andere programma's dienst doen. Juist die eigenschap om via een "exploit" code in een ander programma uit te voeren maakt een lek "kritisch".

In de lijst uit 2003 komt het programma ICQ voor. Maar ieder programma dat een "kritisch lek" bevat, kan als platform dienen om kwaadaardige programma's te installeren of te laden. Ook MSN, Internet Explorer en peer-tot-peer software. Vooral als u zo dwaas bent om hiermee als beheerder het internet op te gaan.

Zodra de malware geïnstalleerd is zal ze zich met officiële opstartmethoden willen legaliseren. Zoals een crimineel zijn criminele geld witwast, zo integreert malware zich het liefst met uw besturingssysteem. Op die manier kan ze haar bestanden volgens de regels laden. Om er daarna van alles mee te kunnen doen.

Overigens beschikt vrijwel ieder grafisch besturingssysteem over een veelvoud van mogelijkheden om programma's te laden. En vrijwel ieder programma kan hier een opdracht toe geven: hetzij via een shell opdracht, hetzij via een interface voor plug-ins (browser!), hetzij via een of andere hack. Het feit dat Windows programma's op zoveel manieren malware kunnen installeren en laden is dan ook niet het probleem. Het probleem is dat de meeste Windows gebruikers de werking van hun programma's niet begrijpen, niet weten dat het ene programma het andere programma kan installeren en dus vrolijk onder het beheerdersaccount blijven werken, waardoor ze de beveiliging van Windows NT en opvolgers uitschakelen.

Hulpprogramma voor systeemconfiguratie

> Top <

Het hulpprogramma voor systeemconfiguratie werd bij sommige versies van Windows 95 geleverd en bij alle Windows 98, 98SE, ME en XP versies. Windows NT en 2000 gebruikers kunnen andere versies gebruiken.

Het programma msconfig.exe kunt u als volgt opstarten: Start / Uitvoeren. Type "msconfig" in het popup venster Uitvoeren. U moet beheerder zijn om het uit te kunnen voeren.

Als u op de pijl omlaag klikt ziet wat u eerder uitgevoerd hebt : de Register-editor (regedit.exe), de opdrachtverwerker cmd.exe en het netwerkconfiguratieprogramma ipconfig.exe behoren tot mijn top 10.

Het hulpprogramma voor systeemconfiguratie bevat zes tabbladen: Algemeen, SYSTEM.INI, Win.ini, Boot.ini, Services en Opstarten.

In het tabblad Algemeen kunt u opgeven op welke manier Windows start: U hebt de optie Normaal opstarten, waarbij alles wat geïnstalleerd werd aan stuurbestanden en diensten geladen wordt, de optie Diagnostisch opstarten, waarbij alleen elementaire stuurbestanden en services geladen worden (verg. Veilige Modus) en de optie Selectief opstarten, waarbij u kunt aanvinken welke initialisatiebestanden door Windows gelezen worden. In de regel is normaal opstarten de beste keus.

De optie diagnostisch opstarten gaf onder VPC een zodanige verandering van de hardwareconfiguratie, dat Microsoft opnieuw om een activatie van de Windows code vroeg. Dat was opmerkelijk, omdat de geëmuleerde hardware van Vitual PC niet verandert was. Omdat de netwerkkaart bij het diagnostisch opstarten ontbreekt, moest ik voor de (re)activatie eerst weer Normaal opstarten via msconfig.

De tabbladen SYSTEM.INI, Win.ini en vooral Boot.ini kunt u alleen bewerken als u weet wat u doet. Boot.ini is het eerste configuratiebestand dat Windows leest en fouten hierin zullen het bootproces verhinderen. Win.ini kan load en run ingangen van 16 bits applicaties en virussen bevatten.

Het tabblad Services bevat veel systeemdiensten van het Microsoft Windows besturingssysteem. In de regel kunt u hier beter van afblijven, tenzij u weet wat u doet . Want ook al zijn ze niet als essentieel aangeduid (2e kolom), het kan toch zijn dat veel van uw programma's ze direct of indirect via de Windows bibliotheken(API) gebruiken. En dan kunt u uw gebruikersprogramma's niet meer vertrouwen.

Met de optie Alle Microsoft-Services verbergen aangevinkt blijven de "third party" diensten over. Bij mij ging het om een virusscanner, firewall en Connectix' VPC addities die ik natuurlijk ongemoeid liet.

Wilt u er toch meer van deze Windows services weten toets dan services.msc op de prompt (Start / uitvoeren / services.msc). Of alternatief: Start / Configuratiescherm (/ Prestaties en onderhoud) / Systeembeheer / Component Services / Services. Door rechts te klikken op een dienst kunt u de Eigenschappen ervan instellen. Zo kunt u van enkele diensten (Messenger) het opstart type van Automatisch in Handmatig of Uitgeschakeld veranderen.

Ik heb in Bijlage 1. Een overzicht van de Windows XP Home diensten gemaakt.

Het aardige van de msc-scripts is dat ze ook een korte beschrijving geven van de dienst. Zo vertelt Windows over de Net Logon dienst:

Hiermee wordt ondersteuning geboden voor indirecte verificatie van accountaanmeldingsgebeurtenissen voor computers in een domein.

Start u de dienst in Windows XP Home op, dan wordt hij meteen weer afgesloten met de mededeling:

De Net Logon-service op Lokale computer is gestart en daarna gestopt. Sommige services stoppen automatisch als ze niets te doen hebben, bijvoorbeeld de Performance Logs en Alerts-service.

Doorgaans zijn de Windows zo ingesteld dat ze met de belangen van de rest van het systeem rekening houden. Als ze niet nodig zijn, zullen ze zichzelf weer uitschakelen. Dit geldt voor automatische en handmatig (manual) opstartbare diensten. Ook dat is een reden om hier niet teveel te rommelen, tenzij u precies weet wat u doet. En dat laatste is een probleem omdat Microsoft zijn Windows diensten onvolledig documenteerde.

Waar vindt u dan wel documentatie? Het treurige is dat u dan bij hackers terecht moet zoals BlackViper's Operating System Guides, die helaas van het internet zijn verdwenen. Ook deze nuttige hyperlink verwijst naar het internet archief: Windows XP Home and Professional Service Pack 2 Service Configurations.

Het tabblad Opstarten bevat bij mij de meeste rommel. Door hier opruiming (Item voor opstarten uitvinken) te houden kunt u het automatisch laden van veel niet essentiële programma's voorkomen.

Hieronder bevinden zich configuratieprogramma's van hardware die u ook via het Startmenu kunt bereiken, software-update programma's van niet-internet programma's en potentieel gevaarlijke servers. Deze programma's werden door hun installatieprogramma in de opstartmappen en run secties van de registry geïmplanteerd.

Wie als root het internet opgaat kan hier ook dialers en andere malware aantreffen.

Als u wat u niet nodig hebt uitzet, zal Windows niet alleen sneller opstarten, minder access denied foutmeldingen geven, maar waarschijnlijk ook wat sneller reageren. Vooral op computers met weinig geheugen.

Het aardige van MSCONFIG is dat u ook kunt zien wat u hebt uitgezet. Omdat u de registersleutels niet definitief verwijderd, maar slechts deactiveert, kunt u weer terugkeren naar de oude situatie als het resultaat u niet bevalt.

Windows logboeken

> Top <

De Windows Logboeken vindt u in Start / Configuratiescherm / Systeembeheer / Logboeken. U kunt het programma Event Viewer (eventvwr.exe) ook vanaf de prompt uitvoeren. Windows XP Home heeft drie logbestanden in \WINDOWS\system32\config:

AppEvent.Evt is een logbestand voor toepassingen. Hier ziet u bijvoorbeeld welke programma's geinstalleerd of (gedeeltelijk) verwijderd zijn.
SecEvent.Evt is het logbestand van de Beveiligingsmanager. U kunt hier o.a. in zien wie er op uw systeem inloggen.
SysEvent.Evt is het Systeemlogboek. Windows update schrijft er onder andere in.

Op EventID.Net staat een database met de betekenis van de gebeurtenissen.

Gedistribueerde verwerking

> Top <

Programma's delegeren veel taken naar programmabibliotheken. Dat is logisch, want hoe Windows vensters opbouwt, wil een programmeur liever niet weten. Voor die code roept hij liever de Windows Application Program Interface (API) aan. Het programma en de aangeroepen bibliotheken maken dan deel uit van hetzelfde proces in taakbeheer.

Programma's kunnen ook functies in andere programma's aanroepen. Bijvoorbeeld via een externe procedureaanroep (remote procedure call, RPC). Als die programmacode zich op een andere computer (server) bevindt spreekt men van gedistribueerde verwerking (distributed computing). De communicatie verloopt via het netwerk. Iedere computer voert een deel van de programmacode uit.

Omdat deze samenwerkende programma's in verschillende programmeertalen geschreven kunnen zijn, moet hun communicatie volgens vaststaande regels verlopen. De programma's moeten net als communicerende mensen over gemeenschappelijke taal en dezelfde communicatiemiddelen beschikken: hoe ze het intern afwerken is hun zaak, maar ze hebben een gemeenschappelijke interface met een in- en output waar hun partners wat mee moeten kunnen. De regels hiervoor zijn in modellen vastgelegd. De stukje programmacodes (componenten) werken dan samen als een team.

Er bestaan meerdere modellen om componenten met elkaar te verbinden ("lijmen"). Het wijdst verbreid is het Common Object Request Broker Architecture (CORBA) model, waaronder andere Sun (Java applets), IBM en Oracle gebruik van maken. Veel van de clients waarmee banken contact maken met grote database op servers zijn dan ook in Java geschreven. De resultaten van gedistribueerde gegevensverwerking worden meestal op de client computer getoond. De server houdt de transacties bij.

Component Object Model (COM)

> Top <

Microsoft is geen Java vriend. Omdat Java applicaties op ieder besturingssysteem met Java draaien, vormden ze een bedreiging voor Microsofts monopolie. Microsoft besloot de Windows ontwikkelaars een alternatief voor CORBA aan te bieden, dat natuurlijk alleen onder Windows liep. De C van Corba's "common" (gemeenschappelijk) werd vervangen door component en zo ontstond in 1997 het Component Object Model (COM), een naam die vertrouwd aandeed.

Hieronder verzamelde het een hele reeks van oude en nieuwe Windows technieken, waaronder OLE, Network OLE, ActiveX, COM+ en DCOM.

Object Linking and Embedding (OLE) is het oudste DCOM protocol (1993). 16 bits Windows applicaties maakten er al van gebruik. De meest bekende toepassing is insluiting: zo kan een Word document een Excel bestand insluiten. Maar ook een gevaarlijk VisualBasic virusscript.

ActiveX wordt onder ander op sites als Miniclip en Windows Update gebruikt. De online-spelletjes staan op de server, maar ze worden via Java script naar uw computer verzonden om lokaal te worden uitgevoerd. Omdat u niet weet wat die code doet, loopt u hierbij altijd risico's. Vandaar dat veel firewalls u hiervoor waarschuwen.

DCOM staat voor het Distributed Component Object Model. Het kwam vanaf Windows 98 in Windows. Hiermee kunnen Windows programma's op de lokale computer of via het netwerk (LAN, WAN en internet) samenwerken. Het ene programma roept via een Remote Procedure Call het DCOM systeem van een ander proces aan, die dan klusjes voor hem kan uitvoeren. Zie: DCOM Technical Overview.

Ga maar eens naar /Computers/Deze computer/DCOM-configuratie/WordPad-document in Component Services. Kies Eigenschappen. Ga naar het tabblad Lokatie. Windows suggereert dat u de toepassing Wordpad zowel op uw eigen computer kunt uitvoeren, maar ook op een andere Windows computer.

Nu weet ik niet hoe ik dat kunstje uitvoeren moet, maar opdrachten om op uw computer gevaarlijke code uit te voeren kunnen al via een HTML script gegeven worden. Windows applicaties als MSIE en Outlook kunnen die automatisch uitvoeren. Dergelijke Klik hier mail is handig voor systeembeheerders, maar werkt ook voor anderen. DCOM werd dus veelvuldig door virussen en wormen misbruikt. Wormen konden zich via het aanroepen van externe Windows procedures zo snel over het (inter)netwerk verspreidden dat Internet Providers als Xs4all drastische maatregelen moesten nemen. Ze blokkeerden Microsofts RPC poort 135 om massale verspreiding van de Blaster worm te voorkomen.

Tegenwoordig richt Microsoft zich op de .NET technologie, die in opzet veiliger is, maar DCOM blijft actief omdat enige Windows applicaties erop bouwen. Sinds SP2 zijn wel de gevaarlijkste lekken van DCOM in Windows XP gedicht, maar niet in de oudere Windows versies.

Tot zover iets over de techniek. U begrijpt dat DCOM ingewikkeld is. Maar de essentie is dat het gaat om gedistribueerde verwerking. Het ene programma roept het andere aan: lokaal of via een netwerk. Een gebeurtenis die in het geval van DCOM ook plaats kan vinden zonder dat u er expliciet om hebt gevraagd. Bijvoorbeeld via een kwaadaardig HTML script dat Internet Explorer of Outlook slaafs uitvoeren. Hiermee kunnen systeembeheerders en Windows Update de o zo benodigde updates afdwingen, maar een niet te vertrouwen HTML script kan uw Windows systeem ook naar een virus- of reptielstadium downgraden. Als u weer eens zo zo dom was om als Beheerder het internet op te gaan of in Outlook uw email te lezen.

Als u DCOM aan hebt staan - en dat is gebruikelijk onder Windows - dan gebruikt u netwerktechnologie die buiten uw wil om van alles op uw PC kan uitvoeren. En dan moet u uw netwerk kunnen vertrouwen. En het internet is per definitie onveilig. Veel veiligheidsexperts adviseren u daarom DCOM uit te schakelen. Steve Gibson van Gibson Research Corporation ziet DCOM vooral als een onnodige Me-To feature. Een Windows only eigenschap waar Microsoft sier mee wilde maken, maar waar de CORBA wereld niet op stond te wachten. Hij ontwikkelde het programma DCOMbobulator waarmee u de kwetsbaarheid van DCOM (gedeeltelijk) kunt testen en DCOM aan en uit kunt zetten.

DCOM is ook uit te schakelen met het bij Windows geleverde dcomcnfg.exe. Zie: Dcom uitzetten voor Windows XP. Maar daarna werkte de ActiveX van Windows Update onder Windows 2000 niet meer (zucht).

[Error number: 0x8024402C] 
The website has encountered a problem and cannot display the page you are trying to view.
The options provided below might help you solve the problem. 

Die van Windows XP deed het wel. Andere Windows programma's als MSN zullen al dan niet benodigde functionaliteit (Shoot The Messenger) verliezen. In dergelijke gevallen kan wijzer zijn om DCOM niet helemaal uit te schakelen, maar op maat te configureren. Dus alleen dat te activeren wat u nodig hebt. Maar hier geldt helaas weer dat de functies van de Windows systeemdiensten (die van DCOM gebruik maken) nauwelijks gedocumenteerd zijn. Uitzetten is dus de veilige keus.

Windows versnellen

> Top <

Het internet en de computerbladen staan volgestouwd met tips en trucs om Windows versnellen. Logisch, want iedere voormalige DOS of OS/2 gebruiker herinnert zich dat het vroeger (op trage PC's) vaak sneller ging. Maar ze begrijpen de strekking van Niklaus Wirth en Martin Reiser wet nog niet:

Software gets slower faster than hardware gets faster.

Ik heb hier in de De digitale toren van Babel al over geschreven. Om hetzelfde te doen gebruiken de softwaremakers steeds grotere bibliotheken. Window XP laadt al bijna een gigabyte aan bestanden voordat u maar een woord in uw tekstverwerker geschreven hebt. En waarom?

Microsofts gemaksbibliotheken vormen de infrastructuur voor de ontwikkelaars, waarmee ontwikkelaars snel en goedkoop complexe Windows programma's kunnen ontwerpen. Ze hoeven niet eens meer te weten hoe het werkt. Veel problemen worden domweg aan de compiler en zijn bibliotheken uitbesteed. Met als gevolg een niet meer door mensen te behappen complexiteit. Ja, de Windows interface (een plaatje met een taakbalk) bleef relatief simpel, maar onder de motorkap komt u met de officiële en officieuze (Windows secrets) documentatie niet uit. En dus verlangt iedereen weer terug naar de Gouden Tijd waarin alles meer op maat gegeven werd.

De filosofie van de Window Tweakers is dat als je Windows maar fijn genoeg instelt en de onnodige opties uitzet je weer teruggaat naar de oertijd waarin het besturingssysteem alleen maar deed wat het moest doen: alleen de essentiële programma's moeten draaien. En dan gaat dus vrijwel alle (99%) processortijd naar de applicaties.

Maar in het artikel "Tuning-tips voor Windows XP getest" (c't oktober 2005) bleek het deactiveren van automatisch opstartende achtergrondprogramma's zo'n beetje de enige effectieve manier om Windows te versnellen. De andere Windows tweak-methoden waar de computerbladen zo vol van staan bleken ineffectief. Bovendien hebt u niet aan een (iets) sneller Windows, zolang u zware Windows applicaties blijft draaien. Want dat is de kern van de wet van Reiser en Wirth.

Tot de ineffectieve Windows versnellen methoden behoorden: automatische updates deactiveren (gevaarlijk!), systeemherstel deactiveren, overbodige bestanden van de harde schijf verwijderen, overbodige Windows componenten deïnstalleren, niet gebruikte fonts deïnstalleren, DLL cache leeg maken, eenderde van de vaste schijf vrijhouden, niet gebruikte registersleutels verwijderen, uitschakelen van het Windows thema Luna, Windows XP instellen voor "Betere prestaties", het openklappen van menu's deactiveren, processen die meteen lopen met "rundll32.exe advapi32.dll ProcessIdleTasks" meteen starten en het verlengen van de geldigheidsduur van EFS-certificaten in de cache.

Voor het deactiveren van overbodige Windows services werd gewaarschuwd. Uw programma's worden immers ontworpen en getest met deze standaard Windows diensten actief. Zet u ze uit, dan loopt u het risico dat uw programma's niet meer doen waarvoor ze ontworpen zijn.

In theorie zouden veel tips wat kunnen uitmaken, maar in de praktijk waren de effecten op gangbare computers onmeetbaar klein. Dat is niet vreemd, want een processor staat meestal te wachten. De conclusie was dat de meeste meldingen van een geslaagde Windows versnelling op het placebo-effect berustten. Iets dat ook voor opeenvolgende "snellere" Windows versie gold. Je hebt het idee dat het sneller gaat, maar aantoonbaar is het niet. Meer geheugen, snellere processors en videokaarten zetten pas echt zoden aan de dijk. Vandaar dat iedere Windows versie steeds weer om een hardware-update vroeg.

Welke hardware update is het effectiefst? Ik denk de hardware updates waardoor de processor minder op de invoer van uw programma's hoeft te wachten.

Voldoende geheugen is een eerste vereiste. Veel Windows XP computers die met 256 MiB RAM uitgerust waren en het volgens hun gebruikers met office en internet altijd prima deden, werden ineens enorm traag nadat er een virusscanner op gezet werd.

De reden was dat er te weinig werkgeheugen was om de virusdefinitiebestanden van de virusscanner in het geheugen te laden. Hoewel een Office applicatie meer dan 100 MiB op de schijf kan innemen, is de werkset ervan niet meer dan een paar MiB. Dat wil zeggen dat gedurende bijv. 10 minuten typen maar een heel klein deel van uw tekstverwerker actief is. Maar als een virusscanner een nieuw bestand van zeg 5 KiB controleert, moet het het wel zijn hele virusdefinitiebestand in het geheugen houden. En dergelijke bestanden zijn in de loop der jaren (evenals het aantal virussen, wormen en malware) exponentieel gegroeid. Ook browsers zijn veel zwaarder geworden. Het zijn besturingssystemen op zich geworden waarin via plugins allerlei programma's draaien. Vooral multimedia bestanden hebben veel geheugen nodig. Het bijprikken van 512 MiB RAM doet dan wonderen.

Het geheugen is niet alleen nodig om belangrijke programmaonderdelen en data in het geheugen te houden, maar ook om sneller de schijf te benaderen. Want veelgebruikte directories, bestanden en metadata worden gecached. Zonder een ruime NTFS cache (minimaal een paar 100 MiB) zou Windows er erg lang over doen om uw bestanden te vinden. Laat staan om ze in de Explorer te tonen. Ook dat maakt zo'n Windows XP met 256 MiB RAM of minder onaangenaam om mee te werken.

Hoe snel haalt de processor de gegevens van de trage vaste schijf? Als er veel geheugen is - opnieuw speelt werkgeheugen een sleutelrol - snel. Want dan is er een grote kans dat de benodigde informatie (mappen, data of code) zich in de Windows schijfcache bevinden. Maar als de processor eerst nog veel directories op de schijf moet inlezen op zoek naar het bestand, duurt het lang voordat het bestand ingelezen kan worden.

Speelt een snelle vaste schijf dan geen rol? Ja, maar vooral bij het vanaf de vaste schijf in het werkgeheugen laden en opslaan van programmacode en data. Hetzij van en naar het virtuele geheugen in pagefile.sys, hetzij vanaf de andere bestanden in het bestandssysteem. Gedurende dergelijke Input Output operaties moet de processor wachten, tenzij hij met de nog beschikbare geheugenplaatsen ondertussen nog wat anders kan doen.

En wat is dan de rol van de videokaart? Die is vooral van belang bij spelletjes. Een goede videokaart neemt de hoofdprocessor veel werk uit handen. In de PC begintijd berekende de processor nog de beeldpunten van het scherm. Al dan niet met behulp van een rekenkundige co-processor. Tegenwoordig kan de hoofdprocessor het overgrote deel van dit werk aan de in de videokaart ingebouwde grafische processor en zijn videoram overlaten. En omdat de videokaart fabrikanten vooral met een Windows markt te doen hebben, steken ze er veel energie in om het trage Windows hardwarematig te versnellen.

Is er dan echt geen andere manier om Windows te versnellen? En wat doen die Registry cleaners dan? Nu, er is software die de registry scant op ongebruikte sleutels en die voor u kan verwijderen, maar dat maakt uw systeem niet merkbaar sneller. Want de registry werkt net als een telefoonboek als een geordende database waarin u de gegevens echt niet veel sneller opzoekt of het nu 500 of 800 pagina's telt. U weet waar de V zit gaat meteen achterin zoeken. En omdat de processor van een moderne computer toch de meeste tijd zit te wachten, kan de computer razendsnel zoeken zolang er voldoende geheugen is.

Spyware

> Top <

Er is ook software (Ad-aware van Lavasoft en Spybot Search & Destroy) die op zoek gaat naar door spyware gebruikte register sleutels en u de gelegenheid biedt om ze te ontmantelen. Dat is al veel nuttiger, want hiermee kunt u de voor u onnodige diensten deactiveren die Windows aan anderen biedt. Het is goed dergelijke anti-spyware programma's regelmatig (1/maand) als beheerder uit te voeren (na een online update van het programma en een registry backup). Want ook al zouden de spyware programma's en/of registerinstructies uw systeem niet vertragen, destabiliseren of corrumperen (wachtwoorden achterhalen), het blijft een vorm van spionage.

Maar helemaal onschuldig zijn deze opruimprogramma's niet. Ze hanteren een database van bekende of waarschijnlijke spyware sleutels, maar ze kunnen zich net als virusscanners vergissen. En dan brengen ze met hun opschoningsacties uw Windows systeem in gevaar. Besmetting met malware voorkomen blijft de eerste keus. Daarom is het zo belangrijk om als gewoon gebruiker met actuele software het internet op te gaan. Als u alleen als u gewoon gebruiker internetprogramma's gebruikt zult u slechts malware in de vorm van registersleutels aantreffen. Maar als u dat soms ook als beheerder doet, installeert u veel meer ellende.

Tros Radar publiceerde in 2004 een Stappenplan verwijderen Spyware [25-10-2004] . De eerste stap was een Windows Update. Dat is terecht, gezien de vele bekende lekken in de Microsoft software die spyware mogelijk maken. Onder OS/2 en Linux speelt dit probleem dan ook niet. En ook onder Firefox -safe mode bent u waarschijnlijk een stuk veiliger. De tweede stap was het installeren van Hitman Pro. En daar wil ik u voor waarschuwen. Want Hitman Pro installeerde zoveel "gratis en voor niets" software dat mijn computer er trager van werd. En niet alleen de mijne. En daarna was ik veel kostbare computertijd kwijt met deïnstalleren van al die rommel. Wat niet eenvoudig was omdat ik nu ineens ook twee (elkaar bijtende) virusscanners had.

Hitman Pro schiet met hagel door zoveel megabytes aan beveiligingsprogramma's te installeren, dat er merkbaar minder geheugen over blijft voor het gewone werk. Het idee is niet slecht, maar Hitman Pro doet niets aan de oorzaak van het probleem. En daar heb ik slechts een paar woorden voor nodig: Ga nooit het internet op als beheerder!

U hoeft ook echt niet op Windows Vista te wachten voordat u weer veilig het internet op kunt gaan. Een vernieuwing van Windows Vista is dat als een beheerder het internet opgaat, hij zijn programma's toch met beperkte rechten draait. Maar waarom zou u inloggen als beheerder? Als gewoon gebruiker werken en zo nodig iets Uitvoeren als beheerder of power user werkt toch ook?

Systeemherstel

> Top <

Een Windows dienst die standaard aan staat is systeemherstel. Het programma maakt backups van kritische systeembestanden. Maar die backups nemen vele gigabytes ruimte in op de vaste schijf. Om die reden zet ik het systeemherstel onder Virtual PC uit. De hardware van de virtuele PC staat immers toch vast. Hetzelfde geldt in principe voor een laptop.

Hoe zet u het systeemherstel (eventueel gedeeltelijk) uit?

Log in als Beheerder.
Ga naar Configuratiescherm / Systeem of rechtsklik op Deze computer / Systeem.
In het tabblad Systeemeigenschappen zet u een vinkje bij Systeemherstel op alle stations uitschakelen.

Maar als u schijfruimte bij de vleet hebt kunt u systeemherstel voor bepaalde stations beter aan laten staan. Een backup van de bootpartitie en de Windows systeempartities zal van nut zijn als een virus, stroomstoring of slecht programma uw systeembestanden verandert.

Systeemherstel maakt na de installatie van een stuurbestand of een programma een herstelpunt aan van de voorafgaande configuratie, zodat u na vastlopers door foutieve hardware drivers (stuurbestanden) terug kunt naar de laatst bekende (laten we hopen) juiste configuratie die systeemherstel bewaarde. Of naar een eerdere versie als u daar voldoende schijfruimte voor reserveerde.

Systeemherstel slaat de gegevens op in verborgen rootmappen met de naam System Volume Information. Dit gaat goed op FAT, FAT32 en NTFS stations, maar niet op HPFS partities. Ik zou van data die niet op de standaardlokaties staan aparte backups maken. Anders loopt u het risico dat Systeemherstel u met de verouderde gegevens van het laatste herstelpunt opzadelt, omdat een of ander Windows stuurbestand faalde. De data in Mijn Documenten worden wel door Systeemherstel gespaard.

Systeemherstel (rstrui.exe) is te vinden in Start / Alle programma's / Bureau-accessoires / Systeemwerkset. Mocht u ook de Verkenner kwijt zijn dan kunt u via Ctrl-Alt-Del Windows Taakbeheer opstarten en bij Nieuwe taak /windows/system32/restore/rstrui opgeven. Bij mij werkte het, maar het nadeel van ieder Systeemherstel is dat de laatste systeemupdates hiermee ongedaan worden. Zonder dat u dat weet.

Systeemherstel zou fantastisch uitkomen in de tijd van Windows 95. Installatieprogramma's lieten Windows veelvuldig crashen door verkeerde bibliotheken en gevaarlijke stuurbestanden in de Windows directories te plaatsen. Deze DLL hell was deels te wijten was aan het feit dat Microsoft haar Application Program Interface (API) slecht documenteerde en regelmatig veranderde om haar concurrenten voor te zijn.

Maar een dienst met de naam Windows Bestandsbeveiliging zet de oorspronkelijke systeembibliotheken onder Windows 2000 en XP terug. En vxd-stuurbestanden zijn onder Windows NT, 2000 en XP verboden. Een hersteloperatie komt daarom vaak neer op een schone installatie of een restauratie van DVD met een backupprogramma. Systeemherstel biedt zelden soelaas.

Slechte stuurbestanden en incompatibele programmabibliotheken komen niet meer zo vaak voor als in de begintijd van Windows. Ook de soft- en hardware fabrikanten zijn al weer 10 jaar verder. Gewone stuurbestanden moeten aan steeds hogere eisen voldoen. Hardware fabrikanten moeten Microsoft betalen om hun stuurbestanden voor Windows gecertificeerd ("digitaal ondertekend") te krijgen.

Inmiddels zijn de (de)installatieprocedures verbeterd, maar niet ieder programma houdt zich hieraan. Zo zal de illegale software die op het internet aantreft zelden van de Windows Installer gebruik maken. En dan is er vaak geen weg terug. Programma's die u niet vertrouwt moet u dus niet installeren. U hebt keuze genoeg in programmatuur.

De beruchte Vxd stuurbestanden worden onder NT en opvolgers niet meer gebruikt. Ze werden verboden omdat ze iedere geheugenplaats konden overschrijven. De stuurbestanden die nu gebruikt worden moeten aan strengere eisen voldoen en zullen het systeem niet zo snel laten vastlopen. Hoogstens zullen bij conflicten randapparaten niet lopen.

Maar het is nog steeds zo dat een installatieprogramma essentiële Windows bestanden met zijn eigen versie kan overschrijven. En als dat toevallig het installatieprogramma van een virus is, dan kunt u het niet met via Start / Configuratie / Software verwijderen. En als u niet over een backup van het oorspronkelijke systeembestand beschikt, heeft ook het handmatig verwijderen geen zin.

Om dit te voorkomen moet u uw programma's zorgvuldig uitkiezen en voor backups van uw systeem zorgen voor het geval een virus ze veranderd. Zeker als u u brood met de computer verdiend. In het bedrijfsleven zullen systeembeheerders alle nieuwe programma's en updates eerst uitgebreid testen voordat ze over het hele bedrijf worden verspreid. Maar op veel gezinscomputers wordt er nog teveel geëxperimenteerd.

Windows Bestandsbeveiliging (WFP)

> Top <

De Windows File Protection dienst bewaart backups van systeembestanden. De backups worden op de achtergrond hun originelen vergeleken. Als een systeembestand ontbreekt of veranderd is, zet de WPF dienst de backup weer terug.

Wat is het nut hiervan? Regelmatig veranderen en verdwijnen systeembestanden. Vraag me niet waarom. Onder een account met beperkte rechten zou dit niet mogen gebeuren. Maar als het om gewijzigde systeembestanden gaat, wordt Windows onbetrouwbaar. En starten programma's niet op. Bijv. uw virusscanner. In het geval hiernaast kon een programma Psapi.dll niet laden. De oorzaak was geen gebrek aan virtueel geheugen, maar het verdwenen zijn van het bestand uit het pad. Maar het zat nog wel in de dllcache van Windows 2000. En als de dienst loopt zal de Windows Bestandsbeveiliging het bestand terugzetten, zodat het na een tijdje wel weer gaat.

De backups staan in de map %SYSTEMROOT\system32\dllcache. De variabele %SYSTEMROOT is een alias voor de Windows systeemmap (bijv. Winnt, Windows). De map met DLL bestanden is verborgen, zodat u hem niet meteen in de Verkenner ziet.

U kunt de grootte ervan handmatig instellen (hier 1000 MB) met de System File Checker:

C:\>sfc /cachesize=1000

De gevraagde wijziging is door Windows Bestandsbeveiliging uitgevoerd.

Daarna kunt u hem actualiseren.

C:\>sfc /scannow

Onder SP2 zou de WPF dienst aan moeten staan. Anders kunt u hem handmatig aanzetten (bijv op XP SP1 of W2K)

C:\>sfc /enable

Hoewel het programma sfc hierbij om de origine Windows XP CD vraagt, wordt de dllcache gevuld met recente (gepatchte!) SP2 bestanden.

Microsoft activatiedienst

> Top <

Welke systeemdiensten activeert Microsoft eigenlijk? Microsoft activeerde in Windows XP de Windows activatiedienst, waarmee uw XP versie alleen met goeddunken van Microsoft kan worden geactiveerd. Zonder Microsofts toestemming kunt u geen Windows update uitvoeren waarmee de kritische Windows lekken worden gedicht. Zonder een geldige licentie blijft u dus zo kwetsbaar als de pest. Maar worden met een geldige licentie alle Windows lekken wel gedicht?

Ik denk het niet. Ik verwacht niet dat de Amerikaanse regering Microsoft toestaat om overal op de wereld veilige Windows PC's neer te zetten. Computers die niet meer door de FBI te bespioneren zijn. Bepaalde lekken zullen altijd bestaan. Bijvoorbeeld omdat het in het landsbelang van de Verenigde Staten is om ze niet of maar ten dele te dichten. Als Microsoft zich hier niet aan houdt, zou ze met een exportverbod geconfronteerd kunnen worden.

Iets dergelijks doet zich al voor bij de export van versleutelingstechnieken. Hier geldt de wettelijk vastgestelde regel: als een op het internet gebruikte technologie niet snel door onze (FBI) supercomputers te kraken is, dan exporteren we (VS) het niet. Iedere betere techniek moet ons militair geheim blijven. Maar reken er maar niet op dat u met de door Windows gebruikte beveiligingsmethoden voor de Amerikaanse veiligheidsdiensten veilig bent (Zie: De National Security Agency en Echelon).

De Europese Commissie vroeg inzicht in de Windows broncode. Omdat niet alle voor Windows ontwikkelaars relevante functies van de Windows Application Program Interface (API) en het besturingssysteem tijdig en correct door Microsoft publiek gedocumenteerd zijn, kunnen alleen Microsofts programmeurs van alle huidige en geplande mogelijkheden van Windows gebruik maken. Ze hebben een enorm concurrentievoordeel, dat zich uit in de extreem hoge winstmarges van MS Office (Office, Windows bring in the big bucks).

Na lang dralen versterkte Microsoft 12.000 pagina's Windows code waar geen touw aan vast te knopen was. Begrepen ze Windows zelf nog? Of hadden ze het met opzet ingewikkeld gemaakt? Ik denk beide. Want hier heeft de Europese Commissie niet alleen te maken met de goedwillende filantroop en zoon van een bedrijfsjurist Bill Gates. Maar ook met de Amerikaanse regering en haar exportbepalingen. En met Microsofts aandeelhouders. Ook al zal Microsoft dat niet zo zeggen, enig overleg met de Amerikaanse regering en haar FBI zal er wel zijn geweest.

De Windows XP activatiedienst boeit me. Bestaat er ook zoiets als een Windows XP de-activatiedienst? Als u volgens Microsoft geen geldige Windows XP licentie hebt, mag u niet meer van de dienst gebruik maken. Het internet wordt dan gevaarlijk terrein. Iedereen zal u kunnen hacken. Degenen met inzage in de Windows broncode (de Amerikaanse inlichtingendiensten) wel het eerst. Maar zelfs met een valide licentie is het voor de Amerikaanse regering een koud kunstje om een land de toegang tot de Windows update servers te ontzeggen. En Microsoft kan bepaalde PC's iets anders dan de reguliere Windows update aanbieden. Het is een kwestie van vertrouwen of u krijgt waarvoor u betaald.

Op dit moment wordt het transcontinentale internetverkeer op grote schaal door de Amerikaanse regering afgetapt. Ook de rootservers van het internet zijn onder Amerikaanse militaire controle. Het internet is - en laten we daar de Amerikanen dankbaar voor zijn - met Amerikaans overheidsgeld opgezet. Maar de VS bepalen nog steeds wie zich op het internet punt-wat mag noemen. En of hij daarmee nog online kan zijn . Het verzoek van de Verenigde Naties om het beheer van het internet over te nemen werd door de Amerikaanse regering afgewezen. Logisch, want met een druk op de knop kunnen ze nu het internetverkeer van en naar hun vijanden verbieden.

Dit was niet meer dan een filosofisch uitstapje. Het was bedoeld om u over het internet en computers te laten nadenken. Het internet en Windows zijn niet zo vanzelfsprekend als u denkt. Ze bestaan bij gratie van de huidige Amerikaanse wereldheerschappij. Ze dienen u, maar ook anderen. En als u steeds denkt: "Als het maar werkt", moet u ook eens nadenken over de vraag: Hoe werkt het, met wie werk ik samen en tegen welke prijs?

Commerciële diensten

> Top <

Uw keus voor het Windows besturingssysteem betekent natuurlijk ook dat u gebruik gaat maken van door Microsoft geleverde programma's en diensten. De Windows update dienst is welhaast onvermijdelijk, maar veel andere diensten kunt u beter als een optie beschouwen. Want u krijgt niets voor niets.

Waarom start Internet Explorer met MSN op? Gewoon omdat Microsoft daar veel geld aan verdiend. Een groot deel van MSN bestaat uit reclame. Ook de andere gratis online diensten (zoekmachine, hotmail) worden uit reclamegeld gefinancierd.

Toch is het niet vanzelfsprekend dat Microsofts commerciële MSN uw startpagina moet zijn. Het is al de vraag of u Internet Explorer wilt gebruiken. Maar als u MSN reclame en propaganda niet wegwerkt (Internet Explorer / Extra / Internet-opties / Algemeen / Startpagina) blijft ze prominent aanwezig in uw bestaan.

Konrad Lorentz met ganzenLiefde op het eerste gezicht (priming) is vaak de ware kuikenliefde. De etholoog en Nobelprijswinnaar Konrad Lorentz ontdekte dat de eerste gestalte die pas uit hun ei gekomen ganzekuikens zagen, voor hun moeder werd aangezien. Vandaar dat ze hun vermeende moeder Konrad Lorentz trouw volgden.

Nu zult u denken: Maar ik ben geen kuiken. Ik ben een rationeel denkend mens. Ik weet wat doe. Maar dan hebt u de menselijke ratio overschat. Als eerste in beeld zijn, is belangrijk. We hebben niet voor niets zoveel gemeen met onze ouders. We nemen zelfs hun manieren van waar-nemen, kennen en denken over.

Ook iemand die voor het eerst een computer koopt, neemt wat er "gratis" voor hem in zit voor lief. Nadat Microsoft Internet Explorer, Outlook, MSN en Media Player met Windows integreerde werden deze applicaties marktleiders. Iedereen kreeg ze. Iedereen groeide ermee op. Vrijwel alle Windows gebruikers investeerden veel tijd en moeite in "hun" in licentie verkregen kapitaal. En daarna hadden de concurrenten het nakijken.

En door uw gegevens (email, media, Word, msn) aan Microsofts bestandsformaten en "protocollen" te koppelen, zorgde moeder Microsoft er ook voor dat u een trouwe (afhankelijke) consument bleef. Door het grote marktaandeel van Media Player verdiende ze aan de grote bedrijven die de Microsofts codecs nu wel moesten gebruiken. En hun kosten verhaalden de mediagiganten weer op u.

Vanwege dit priming (meteen in beeld zijn) effect hebben commerciële bedrijven er veel geld voor over om op uw desktop te verschijnen. Internet Providers betaalden voor de klik-hier iconen op OEM systemen. Anderen kopen reclametijd via pop-up schermen op. Of betalen voor een eervolle vermelding in de zoekmachine.

Veel programma's stellen u voor om een "Ben ik in beeld" icoon op uw desktop te installeren. En adviseren u om zichzelf als een automatische dienst te lanceren. Zodat u altijd over de juiste (maar wie bepaalt dat?) updates beschikt. En meteen aan uw weldoener herinnerd wordt. De autoruns willen ook nog wel eens foutmeldingen opleveren op een NT/XP systeem waar ze niet automatisch hun gang mogen gaan. En dat heeft meestal met gebruikersrechten te doen.

> Top <





De Waarschuwingsdienst Nieuwsbrief december 2005: Rootkits: onzichtbare programma's op uw computer

c't = magazine voor computertechniek (okt 2005): Tuning-tips voor Windows XP getest

Prestatiewinst: Windows XP Services tweaken

Places that viruses and trojans hide on start up.

Microsoft Windows XP Home Edition - Systeemherstel

Tweaking XP: Windows File Protection and SP2

Ars Technica - Managing and Disabling Windows File Protection (7/2000) : dit gaat over Windows 2000.

Beschrijving van het hulpprogramma Systeembestandcontrole (Sfc.exe) van Windows XP en Windows Server 2003

Beschrijving van het Microsoft Windows-register

Mark's Sysinternals Blog: Sony, Rootkits and Digital Rights Management Gone Too Far

Windows NT Workstation Resource Kit: Initialization Files and the Registry

Black Viper's Web Site

How To Create a User-Defined Service bevat