Windows XP is niet veilig zonder Service Pack 2 (SP2, augustus 2004) te gebruiken. In de oorspronkelijke XP versie (oktober 2001) zitten zoveel lekken dat geen virusscanner ze nog dichten kan.
Als een lek ontdekt wordt dan softwarefabrikanten vaak een patch of een bugfix uit. Dit is een stukje software dat over de oude software geïnstalleerd wordt en dat de kwetsbaarheid verhelpen moet. Een Service Pack is een verzameling van dergelijke patches, maar voegt ook nieuwe eigenschappen aan het systeem toe.
De belangrijkste verbeteringen van Service Pack 2 voor Windows XP zijn:
Een Windows Firewall (ICF) die standaard aan staat.
Gevaarlijke Remote Procedure Call (RPC) protocollen kunnen met beperkte referenties worden uitgevoerd. Maar dat wordt nog niet gedaan.
De Windows systeembestanden kregen een betere bescherming tegen bufferoverloop aanvallen.
Een nogal omstreden ondersteuning voor preventie van gegevensuitvoering via de hardware (Data Execution Prevention, DEP).
Een verbeterd bijlagebeheer in Microsoft Outlook, Outlook Express en Windows Messenger.
Extra beveiliginginstellingen in Microsoft Internet Explorer.
Het Beveiligingscentrum biedt gebruikers een eenvoudige interface om het beveiligingsplan van Microsoft en Norton e.a. in te stellen.
Het automatisch installeren van de noodzakelijke Windows updates is verbeterd.
Meer lezen: Wijzigingen in functionaliteit in Microsoft Windows XP Service Pack 2 .
Op een nieuwe Windows PC staat de Internet Connection Firewall (ICF) nog niet aan. Tijdens het opwaarderen van Windows XP (Service packs, stuurbestanden), uw software en virusscanner zult u meestal van het internet gebruik maken. Om dat veilig te kunnen doen, moet u van een firewall gebruik maken, anders bent u zo gehackt. Hoe u de Windows firewall aanzet leest u in Internet Connection Firewall (ICF).
De installatie van Service Pack 2 verloopt niet altijd vlekkeloos. Microsoft raadt u aan om eerst een volledige backup te maken. Maar als u SP2 meteen na een schone Windows installatie uitvoert, is de kans op ongelukken klein.
Het installeren van Service Pack 2 is niet moeilijk. Microsoft verspreidde SP2 op CD's. Beschikt u niet over een CD, dan kan Windows Update dienst SP2 op de achtergrond ophalen. Het installatieprogramma controleert eerst de vrije ruimte op de vaste schijf. Er is een GB nodig, waarvan ruim 300 MB gebruikt wordt voor backups. De installatie eindigt met een reboot.
De verborgen map C:\WINDOWS\$NtServicePackUninstall$ bevat dan 274 MB aan bestanden (tot 174 MB gecomprimeerd). U kunt deze map wissen als SP2 goed loopt. Teruggaan naar SP1 is toch geen optie.
Na de installatie van SP2 mag u ervoor kiezen om al dan niet voor automatische updates te gaan. Ja is de veilige keus. Het voordeel hiervan is dat u niet naar het beheerdersaccount hoeft te gaan om de updates te installeren. De update service wordt al bij het opstarten van Windows XP als een achtergrondproces gestart. Dat geldt trouwens voor de meeste diensten die u met (uitvoeren / ) msconfig kunt zien.
Het Windows Beveilingscentrum is te vinden in Start / Configuratiescherm / Beveilingscentrum. U kunt de automatische updates ook in de tabbladen van Mijn computer (re-klikken) instellen. Maar als u voor de automatische updates gaat, bent u nog niet meteen up-to-date. Om veilig het internet op te kunnen gaan kunt u het best de na SP2 verschenen updates meteen handmatig installeren.
U kunt alleen onder het Beheerdersaccount handmatig updates installeren. U gaat naar Start / Internet (Internet Explorer) en kiest in het Internet Explorer menu Extra / Windows Update. Met andere browsers werkt de update service niet.
U komt bij de Windows Update service. Internet Explorer en uw firewall moeten voor deze site ActiveX toestaan, zodat Microsoft uw systeem vrijelijk kan doorzoeken.
U kiest voor:
Snel: Essentiële updates uitvoeren.
De andere optie (Optionele en essentiële updates voor Windows en andere programma's) vereist dat u heel precies weet wat u doet. Maar eigenlijk weet ook een systeembeheerder dat niet omdat de Windows updates nauwelijks gedocumenteerd zijn.
En daarna voor :
Nu downloaden en installeren.
De essentiële updates worden dan meteen gedownload en geïnstalleerd. Alle? Nee, niet meteen alle.
Als Windows u meldt:
De installatie van updates voor uw computer is voltooid.
U moet de computer opnieuw opstarten als u de wijzigingen van kracht wil laten worden.
Dan moet u inderdaad rebooten om daarna opnieuw naar Windows update te gaan.
De reden is dat Windows niet in een keer alle kritische updates installeren kan. Er volgen dan nieuwe update rondes die via een reboot van elkaar gescheiden zijn.
Het gele schild rechts onder op de taakbalk geeft u een seintje als er automatische updates gevonden en opgehaald zijn.
Door op het gele schildje te klikken komt u in en menu Automatische Updates.
Kies voor:
Normale installatie (aanbevolen).
Het popup ballonetje geeft aan dat u rustig verder werken mag. Ondertussen zullen de eerste 30 updates worden geïnstalleerd.
U mag zelfs als beheerder uitloggen en als gewone gebruiker doorgaan, omdat Windows Update op de achtergrond als een van de gebruiker onafhankelijke service draait (wuauclt.exe).
We loggen nu in als gebruiker en kiezen:
Start / Alle programma's / Windows update.
In plaats van de huidige gebruiker (hostnaam/gebruiker) kiezen we voor de Beheerder.
Want de gebruiker root op de computer XPHOME kreeg beheerdersrechten. En alleen met beheerdersrechten kunt u een windows update (die immers systeembestanden overschrijft) via het internet uitvoeren.
U bent er nog niet. Want voordat u de Windows update kunt afronden moet Microsoft eerst uw Windows-software met het Windows Genuine Advantage (WGA) Validator Tool controleren. Windows wil weten hoe u aan uw software komt.
Als Microsoft aan de hand van uw product activatie code merkt dat de Windows XP software ook op een andere OEM PC geactiveerd was, terwijl er slechts een licentie voor een OEM computer afgegeven was zal de validatie niet slagen en wordt de update afgebroken. Ook gebruikers van Windows emulatie software als Wine worden van Window Updates uitgesloten (Microsoft admits targeting Wine users).
Dit heeft nogal wat consequenties. Sinds de WGA verplichting zijn er weer tientallen lekken gedicht, die nu wagenwijd open blijven staan. Fouten in Internet Explorer en Outlook kunt u omzeilen door van Mozilla Firefox en Thunderbird te gebruiken, maar diepe systeemfouten niet. Windows MediaPlayer en Messenger zullen altijd gevaarlijk zijn.
Ik mocht gewoon kiezen voor Doorgaan. Maar ik krijg wel de kriebels van dat gedoe. Waarom? Gewoon omdat er veel meer achter zit. Het is toch het probleem van software die je niet echt bezit.
Bij het afsluiten van Windows kunt u de opdracht tegenkomen:
Schakel uw computer niet uit, deze wordt automatisch uitgeschakeld.
En daarna:
Update 1 van 6 installeren.
Dan probeert Windows de op de achtergrond gedownloade updates nog even te installeren.
Gun Windows die kans, want dan bent u na de volgende reboot waarschijnlijk weer wat veiliger.
Uiteindelijk zijn er geen belangrijke updates meer als u naar Windows Update gaat. Als het goed is meldt de Update Site dat voor uw PC de Automatische Windows Updates INGESCHAKELD staat (zie: psp2_3.gif) . Dan is het hoogste tijd om nooit meer als beheerder het internet op te gaan, want Windows zal die updates nu automatisch voor u opzoeken, downloaden of installeren. Hoe ver u hierin wilt gaan is een kwestie van smaak.
De opties in het Beveiligingscentrum achterhaalt u door op "Kies het tijdstip waarop u de updates wilt installeren" en daarna op "Meer opties" te klikken. U ziet meteen hoe ingrijpend ActiveX onder een beheerdersaccount kan zijn. Wat Microsoft Update met uw PC configuratie uithaalt moet u wel toestaan (anders geeft u anonieme crackers teveel kansen), maar ik laat ActiveX van andere sites alleen toe onder een account met beperkte rechten.
De opties zijn:
Automatisch (aanbevolen)
Updates downloaden, maar ik bepaal wanneer de updates worden geïnstalleerd.
Kennisgeving over updates ontvangen, maar de updates niet automatisch downloaden of installeren.
Automatische updates uitschakelen.
Het Automatisch installeren is voor een legale Windows thuisgebruiker de beste keus. Als er dan weet updates zijn zal Windows die op de achtergrond installeren. Als hier een reboot voor nodig is, krijgt u daar een notie van.
Wat als Windows Update niet werkt? Dan hebt u een groot beveiligingsprobleem.
Als u een illegale Windows XP versie hebt, kunt u het wel vergeten. Dan hebt u geen recht van spreken. Laat staan een reden om u te beklagen.
Maar als alles snor zit met de activatie zou u om te beginnen in de Logbestanden kunnen kijken om te zien wat er is misgegaan. Voor KB931784: Beveiligingsupdate voor Windows XP kunt u in C:\Windows\KB931784.log kijken. Deze eindigt met:
9.828: [dumpDownloadTask] We have all necessary files for the package to install. Return STATUS_READY_TO_INSTALL 9.828: dumpDownloadTask returned 0xf201 (ready to install) 9.844: De installatie van KB931784 is niet voltooid. 9.844: Update.exe extended error code = 0xf201
In dit geval zijn de bestanden al gedownload maar nog niet geïnstalleerd. Hoe kunt u ze installeren? Klik dan op de een icon rechts in de taakbalk waarin iets staat als "De updates zijn klaar om te installeren". Maar als het daarna weer mislukt houdt u uw probleem en blijft u vatbaar voor aanvallen.
Een reden kan zijn dat de gedownloade updates niet correct op de achtergrond zijn ontvangen. Voordat u ze weer ophaalt is het goed om de MS Internet Explorer cache te gaan legen.
Bij twijfel kan het geen kwaad de update service tijdelijk te stoppen en de gedownlade bestanden te wissen.
C:\WINNT\SoftwareDistribution>net stop wuauserv The Automatic Updates service is stopping.. The Automatic Updates service was stopped successfully. C:\WINNT\SoftwareDistribution>rd /s datastore datastore, Are you sure (Y/N)? Y
Vergeet niet de update service weer aan te zetten:
C:\WINNT\SoftwareDistribution>net start wuauserv The Automatic Updates service is starting...... The Automatic Updates service was started successfully.
Dit werkte niet. Daarna heb ik de procedure herhaalt door de map SoftwareDistribution te hernoemen (cd ..,Rename SoftwareDistribution SoftwareDistribution_bak) . Zie Tony Krijnen : Windows Update Troubleshooting.
Het is veel gedoe, maar soms moet je de gedownloade patches handmatig installeren. De gedownloade patches worden als submappen in de map C:\WINDOWS\SoftwareDistribution\Download\ uitgepakt. Daar treft u bijvoorbeeld mappen als df1547c54125a6c40bfb437bae3c5240 met in de submap update het bestand update.exe:
C:\WINDOWS\SoftwareDistribution\Download\df1547c54125a6c40bfb437bae3c5240\update\update.exe
Deze start de Wizard Software-updates installeren waarmee u iedere patch handmatig installeren kunt.
Vergeet daarna niet de map met de vreemde naam te wissen, want anders weet u niet meer wat u al hebt geïnstalleerd. Het nadeel is dat u ook niet meer van een eventuele submap backup gebruik kunt maken, maar daar hebben we onze eigen backups voor. In de regel laat Microsoft een falende patch relatief snel door een corrigerende patch volgen, anders zouden de systemen van degenen die van de automatische update gebruik maken massaal de soep indraaien.
Sommige downloads bevatten alleen ene CAB-bestand. Bijv. winword.cab. Door er in de verkenner op te klikken, ziet u wat het archiefbestand bavat. Gaat het om een MSP-bestand (bijv. winword.msp) dan pakt u het uit (re klikken / Uitpakken/ Kies een lokatie) en installeert u het bijv. in Mijn documenten. Het heeft dan de ondertiteling Windows Installer patch. Door er op te klikken wordt standaard de Windows Installer gestart. Hierme emaakt u de klus af.
Nee. Dat bent u niet. Want u hebt alleen de lekken gerepareerd die Microsoft en andere software leveranciers wisten te repareren. Maar er blijven ongepatchte lekken en aan u bekend veronderstelde veiligheidsrisico's bestaan. Zo zal de laatste versie van Internet Explorer nooit voorkomen dat u een virus download en installeert. Gewoon omdat iedere webbrowser aldoor bestanden van het internet ophaalt en er wat mee doet. De plaatjes en HTML teksten worden in het browservenster afgebeeld en voor zip en exe bestanden krijgt u een dialoogvenster. Als u dan op uitvoeren klikt, is dat uw verantwoordelijkheid.
En wat te denken van de vele uitvoerbare scripttalen zoals java-script en active-X? Die zijn bedoeld om programma's (spelletjes en animaties) op uw PC uit te voeren, maar wat ze doen, dat weet u niet. Ze kunnen leuke flash filmpjes laden, maar die kunnen ook kwaadaardig zijn. Zelfs afbeeldingen kunnen al exploits bevatten. Misschien heeft de laatste Internet Explorer er een patch voor, maar de eerste de beste viewer of uw tekstverwerker waarin u ze gebruikt misschien niet. Daarom zal een bedrijf u niet toestaan allerlei (ondoenlijk op bugs te testen) software op uw PC te installeren. Maar de gemiddelde thuisgebruiker zit daar niet mee.
Misschien dat een virusscanner op tijd de ware aard van uw programma's zal detecteren. Maar dat u ondanks uw virusscanner al allerlei spyware via de ingebouwde Windows en Browser applicatie functionaliteit kunt installeren zegt al genoeg. Door gewoon te doen wat ze moeten doen kunnen uw programma's zowel een zegen zijn als een bron van ellende. Het is maar door wie en hoe ze gebruikt worden. En daar hebben u, uw firewall virusscanner meestal geen zicht op.
De actuele stand van zaken vindt u in de Secunia database. Ik zie daar nu 14% staan, maar dat wil niet zeggen dat het aantal problemen afneemt. Integendeel: Het aantal bekende problemen neemt ook toe. Dus als er voor degenen die 100% up to date zijn relatief meer problemen zijn opgelost, wil niet zeggen dat u zoveel veiliger bent. |
Daarnaast moet u er voor zorgen dat u al uw op het internet gebruikte software up to date houdt. Windows Update verzorgt immers alleen maar de bij het Windows besturingssysteem geleverde applicaties. Maar niet de updates van andere software leveranciers. Houdt met name typische internetapplicaties in de gaten. Maar ook Office applicaties en Acrobat Reader bevatten kritische lekken, zodat u niet zomaar ieder Word of PDF document straffeloos kunt lezen. Om op de hoogte te blijven kunt u zich op nieuwsbrieven als de Waarschuwingsdienst van het ministerie van Economisch Zaken abonneren. Daarnaast stellen sommige bedrijven gratis software kwestsbaarheden scanners beschikbaar voor persoonlijk gebruik. Een voorbeeld is de Personal Software Inspector van Secunia. Wat dat betreft is het automatisch updaten van een goede Linux distributie veel gemakkelijker. Een verschil met Window is dat u onder Linux zelf mag kiezen wat u aan veilige en onveilige software installeert. En daarnaast verzorgen de gangbare Linux distributies de updates van al uw van de DVD of het internet geïnstalleerde pakketten desgewenst al tijdens de installatie. Op die manier kunt u meteen al met een actuele en veilige distributie het internet opgaan. En daarna kunt onder Linux automatische updates instellen waarbij opnieuw niet alleen de software van het het besturingssysteem wordt aangepast, maar ook die van de gebruikersapplicaties. Maar voor Windows systeembeheerders geldt de regel, dat ze hun computers pas veilig op het internet kunnen aansluiten als ze de noodzakelijke updates hebben uitgevoerd. Anders wordt hun Windows server al door een netwerkworm gekraakt voordat ze de beveiliging konden instellen... |
In SP2 wordt de Data Execution Prevention via het verborgen bestand boot.ini geactiveerd.
Standaard staat er zoiets als:
[boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
De eerste regel is commentaar. De timeout van 30 seconden ziet u alleen als u meerdere configuraties hebt. De default is de partitie die standaard wordt opgestart. Multi(0)disk(0)rdisk(0)partition(1) slaat op de tweede partitie (partition(1)) van de eerste vaste schijf (disk(0)). De nummering begint dus bij 0.
Als u /NoExecute=OptIn verandert in /NoExecute=AlwaysOff, dan
Wijzigingen in functionaliteit in Microsoft Windows XP Service Pack 2 : Zeer uitgebreide informatie over SP2.
Ongepatchte Windows XP PC in uur gehackt : Dit betekent dat u Windows alleen vanachter een firewall kunt installeren! Want met het patchen bent u meer dan een uur kwijt.
NX bit - Wikipedia, the free encyclopedia : Data Execution Prevention in een wijder perspectief.
blog.ncircle.com: What do you mean I'm not patched?
Windows XP Advice & Information