Dopo molte beta e voci su quando sarebbe stato disponibile il Service Pack 2 per Windows XP, la versione finale del Service Pack 2 è disponibile dall’inizio di agosto 2004. Abbiamo già dato un’occhiata alla versione finale e presentato le nuove caratteristiche.
Indice dei contenuti
La storia
Fino ad oggi, Microsoft ha limitato i suoi service pack alla correzione di falle di sicurezza note (o sconosciute) e di errori di sistema. Tuttavia, a causa dei numerosi incidenti verificatisi l’anno scorso e quest’anno, Windows XP ha la reputazione di essere un sistema operativo insicuro. Microsoft ha quindi annunciato che il prossimo Service Pack sarà ampliato con molte funzioni che dovrebbero rendere il sistema operativo molto più sicuro. Il Service Pack 2 di Windows XP è quindi più simile a una seconda edizione di Windows XP.
Le modifiche fondamentali – oltre a numerose patch e correzioni, più di 870 secondo Microsoft – riguardano da un lato il firewall, Internet Explorer e la funzione di aggiornamento, dall’altro la funzione “NX”, che dovrebbe proteggere dai buffer overflow. Per Windows XP Media-Center Edition 2002 è prevista una nuova interfaccia utente e miglioramenti nella lettura dei CD musicali. Anche gli utenti di tablet PC troveranno miglioramenti nel Service Pack 2, come il riconoscimento di singoli caratteri o il suggerimento di parole alternative nel riconoscimento dei caratteri. A causa della mancanza di hardware, tuttavia, non abbiamo potuto testare queste funzionalità.
Installazione
Il download completo del Service Pack 2 è di ben 265 MB.
Il tempo di installazione è di 15-30 minuti, a seconda del sistema. Se avete utilizzato un “numero di serie rubato”, potete inserire un numero valido con il suggerimento “Sostituisci il numero di serie errato”. In caso contrario, l’SP2 potrebbe rifiutarsi di essere installato.
Naturalmente, ci sono anche i comandi per il file EXE, che possono essere visualizzati con filename.exe /?
Parametri di configurazione |
I più importanti sono:
- /Disinstallazione
Rimuove l’aggiornamento o il service pack - /? o /Aiuto
Visualizza il testo della guida - /D:Nome cartella
Salva i file di installazione del service pack nella cartella specificata. - /N
Non salva i file necessari per rimuovere il service pack o l’hotfix. Non è disponibile il pulsante Rimuovi nell’opzione Aggiungi/Rimuovi programmi del Pannello di controllo, pertanto il service pack o l’hotfix non possono essere disinstallati. - /Quiet
Utilizza la modalità silenziosa, che equivale alla modalità non presidiata (ma l’interfaccia utente non viene visualizzata). Non vengono visualizzate informazioni durante l’installazione - Nome cartella /integrate
Combina i file del service pack con i file di installazione originali di un CD di Windows XP sul disco rigido (la cosiddetta installazione slipstream; vedere l’articolo separato su WinTotal).
L’installazione offre una funzione di annullamento per disinstallare il service pack in caso di problemi.
Funzione di annullamento |
Dopo l’installazione, il comando winver mostra il seguente numero di versione del sistema operativo:
winver |
Presumo che questo verrà comunque modificato nella “versione per il cliente finale”.
Centro di sicurezza
Dopo il primo accesso, il Centro di sicurezza appare immediatamente se è stato riscontrato un problema. Il Centro sicurezza, accessibile anche tramite il “Pannello di controllo”, riassume tutte le informazioni rilevanti per la sicurezza: Protezione antivirus, firewall e aggiornamenti automatici. Questi vengono monitorati (ad esempio, l’antivirus è in funzione o è stato disattivato) e possono anche essere configurati tramite collegamenti.
Centro di sicurezza |
Inoltre, un’icona rossa nella systray ricorda che il PC non è protetto in modo ottimale.
Problemi minori con gli scanner antivirus
Nel nostro caso, nel sistema di prova manca un antivirus. Ma anche se un antivirus è presente, il centro di sicurezza non lo nota necessariamente. Resta da vedere se tutti gli scanner antivirus sono già“pronti per il Service Pack 2” e si registrano correttamente con il sistema tramite un’API appositamente fornita. È quindi possibile segnalare al Centro di sicurezza che si dispone di un antivirus e non è necessario acquistarne subito uno nuovo, come consiglia il Centro di sicurezza (casella di controllo in basso).
Disattivare il controllo dell’antivirus |
Il Centro di sicurezza indica quindi che non controlla questa funzione.
Controllo scanner virus disattivato |
Aggiornamenti automatici
Le impostazioni per l’aggiornamento automatico di Windows, che in precedenza erano ancorate alla voce “Sistema” del “Pannello di controllo”, hanno ora un’icona propria nel “Pannello di controllo” e possono essere configurate attraverso di essa.
Aggiornamenti automatici |
L’impostazione predefinita per l’installazione automatica degli aggiornamenti scaricati è nuova. In passato, molti utenti scaricavano automaticamente gli aggiornamenti, ma non li installavano tramite l’icona della barra delle applicazioni. Con il Service Pack 2, questa operazione dovrebbe ora avvenire automaticamente.
Firewall di Windows
L’innovazione più evidente è il miglioramento del firewall (chiamato anche Internet Connection Firewall – ICF) in Windows XP. Già nella versione originale, Windows XP disponeva di un firewall che poteva essere attivato e configurato nelle proprietà della rispettiva connessione. Purtroppo, solo pochi utenti hanno utilizzato questa funzione. I motivi sono probabilmente il cattivo funzionamento e l’opzione di attivazione nascosta.
Con il Service Pack 2 la situazione cambia. Innanzitutto, il firewall ottiene una propria icona nel pannello di controllo ed è quindi più facilmente accessibile.
Firewall di Windows |
In questa finestra di dialogo è possibile regolare il firewall. Se il computer fa parte di un dominio, le impostazioni possono essere specificate anche tramite i criteri di gruppo (vedere ulteriori link).
Non è immediatamente evidente che il firewall utilizza impostazioni di filtro diverse per il funzionamento con e senza dominio. In questo modo, il computer può essere lasciato relativamente aperto all’interno del dominio (ad esempio con un firewall hardware) e meglio protetto nel funzionamento indipendente (ad esempio tramite WLAN da hotspot pubblici).
Protezione prevalentemente dall’esterno
Il firewall protegge Windows da tutti gli accessi esterni. I pacchetti non richiesti vengono scartati dal sistema. Se si desiderano eccezioni, è possibile definirle nella seconda scheda.
Firewall di Windows |
L’eccezione può essere una porta o un programma che vuole aprire le porte per i servizi del server. Nello stato predefinito, anche la condivisione di file e stampanti è disattivata, cioè le condivisioni nella LAN non sono inizialmente accessibili a nessuno.
Se ora si definisce la condivisione di file e stampanti come un’eccezione, si può anche specificare l’area per la quale si applica l’eccezione. Normalmente, ad esempio, la condivisione di file e stampanti dovrebbe essere applicata solo a una sottorete locale, ma non all’intera Internet.
Firewall di Windows |
In alternativa, è possibile rilasciare programmi che hanno pieno accesso al firewall e quindi determinano da soli quali porte devono essere aperte. A tale scopo viene utilizzata un’API separata all’interno di Windows. Non è possibile specificare la porta per un programma.
Se un’applicazione vuole aprire una porta senza che questa o l’applicazione sia stata rilasciata, viene visualizzata una richiesta dal sistema e si può consentire l’eccezione.
Firewall di Windows |
In caso di rifiuto, l’applicazione apparirà comunque nell’elenco delle eccezioni, ma senza un segno di spunta.
Firewall di Windows |
Se si osserva la scheda “Avanzate“, si può notare che il firewall ora si applica fondamentalmente a tutti i tipi di connessione:
Windows Firewall |
Qui è possibile impostare eccezioni per ogni tipo di connessione. Il grande vantaggio di questo metodo è che, ad esempio, le connessioni dial-up sono sempre protette. In passato, era necessario attivare la protezione per ogni connessione separatamente.
Non esistono funzioni come ZoneAlarm e Co.
Contrariamente a quanto si pensa, il firewall di Windows non è un firewall applicativo come ZoneAlarm, perché vengono bloccati solo i programmi che vogliono aprire i servizi del server. Ciò significa che il firewall non protegge dai programmi che si annidano nel sistema e che inviano i loro dati tramite porte comuni (per la posta, i browser web, ecc.). Chi vuole sapere quali applicazioni vogliono entrare in contatto con Internet deve quindi continuare a fare affidamento su un “vero” firewall applicativo.
Inoltre, ai programmi autorizzati non viene fornita una chiave di checksum nelle eccezioni. Un Trojan intraprendente potrebbe quindi semplicemente mutare un’applicazione esistente (assumendo i diritti di amministratore). Se questa era già “autorizzata”, la versione modificata continuerebbe a funzionare senza ulteriori indagini.
Installazione della rete wireless
Ciò che sembra particolarmente nuovo non offre quasi nulla di nuovo: la procedura guidata dietro l’icona richiede tutti i parametri necessari per accedere alla WLAN.
Installazione della rete wireless |
Successivamente, è possibile salvare la configurazione su un’unità rimovibile per trasferire le informazioni ad altri PC. Si tratta di una funzione utile, soprattutto per le password, che sono una fonte frequente di errori per le reti WLAN non funzionanti.
Installazione della rete wireless |
Cosa c’è di nuovo in Internet Explorer
Il figlio problematico di Microsoft, di cui si conoscono nuove falle di sicurezza quasi ogni settimana, dovrebbe ricevere una maggiore “sicurezza”. Sebbene il problema di progettazione della “stretta integrazione con il sistema operativo” non sia stato eliminato, Microsoft ha comunque apportato miglioramenti in alcune aree.
Blocco pop-up
Niente è più fastidioso dei pop-up su Internet. Anche se questi parassiti possono essere usati in modo sensato, i webmaster semplicemente impongono troppo ai loro visitatori e li infastidiscono con i pop-up pubblicitari. Per questo motivo, da qualche tempo i blocchi dei pop-up fanno parte della dotazione standard dei browser concorrenti. Ora anche Microsoft ha reagito e con il SP2 offre le funzioni corrispondenti per Internet Explorer. Il blocco dei pop-up è nascosto nelle “Opzioni Internet” alla voce “Privacy”.
Blocco pop-up |
Dietro il pulsante “Impostazioni” è possibile definire l’ulteriore comportamento del blocco e le eccezioni.
Blocco pop-up |
Quando compare il primo pop-up, nella barra di stato del browser appare una nota con ulteriori informazioni.
Blocco pop-up |
Qui si trova anche un’icona che indica che il blocco dei pop-up è stato attivato.
Tramite il menu contestuale dell’icona è possibile stabilire come procedere:
Se si desidera consentire i pop-up su pagine web specifiche, non è necessario inserire manualmente le pagine, ma è possibile farlo tramite il menu contestuale.
Poiché WinTotal deve aprire una finestra pop-up separata con il link per il download, il dominio WinTotal.de deve essere incluso nell’elenco delle “eccezioni”.
Gestione dei componenti aggiuntivi
In Opzioni Internet -> Programmi -> Gestisci componenti aggiuntivi è presente una nuova funzione che visualizza gli oggetti helper del browser, i plugin del browser e i controlli ActiveX installati.
Qui si annidano programmi come la barra degli strumenti di Google, Acrobat PDF o le estensioni di Macromedia, ma anche programmi dannosi che reindirizzano le chiamate alle pagine o spiano i dati. Il nuovo pulsante consente di avere una panoramica di tutte le estensioni e di attivarle o disattivarle in modo selettivo. Fino ad ora, si doveva guardare nelle schede di IE con altri prodotti. Inoltre, i componenti aggiuntivi di terze parti sono spesso responsabili dei crash di Internet Explorer. Disattivando tutti i componenti aggiuntivi e poi riattivandoli finché non si verifica l’errore, è più facile rintracciare il colpevole. In aggiunta a ciò, Internet Explorer stesso è ora di aiuto. Se si verifica un arresto anomalo, un programma di analisi degli errori verifica se il componente aggiuntivo è responsabile e identifica il colpevole. Il componente aggiuntivo può essere disattivato in via sperimentale tramite l’amministrazione dei componenti aggiuntivi.
Gestione dei componenti aggiuntivi |
Niente più download automatici
Quando si fa clic su un download, molti siti Web reindirizzano prima l’utente a un server mirror e poi lo avviano. Questa operazione non funziona più con Internet Explorer con il Service Pack 2. Al contrario, viene visualizzata una finestra di messaggio nella parte superiore dello schermo del browser.
Download |
Per avviare comunque il download, è necessario fare clic nell’area dei suggerimenti e poi fare clic su“Scarica file“. Il suggerimento nell’archivio dei suggerimenti di WinTotal descrive come riattivare il download.
Poiché WinTotal inoltra i download anche al browser, in futuro il download dovrà essere avviato in questo modo.
Ciò che vale per i download, Microsoft lo ha implementato allo stesso modo anche per i controlli ActiveX.
Nessun download automatico di ActiveX |
Se una pagina vuole installare un controllo ActiveX (ad esempio l’aggiornamento di Office), nella parte superiore del browser appare anche un avviso giallo che invita a installare o meno il controllo dopo la conferma.
Download dalla rete
Anche la finestra di download è stata rivista:
Download |
Se ora si salva il file su un supporto dati NTFS e poi si avvia il file scaricato, viene visualizzato un messaggio di avviso:
Download |
Il messaggio appare anche se il file è stato precedentemente decompresso con il decompressore di Windows. Se invece si utilizzano prodotti di terze parti, il flag“Da Internet” viene perso.
Aggiornamento Windows V5
Insieme all’SP2, il nuovo sistema utilizza anche la versione 5 del sito web di Windows Update di Microsoft. La novità più evidente è la possibilità di scegliere tra“Installazione rapida” e“Installazione personalizzata“.
Aggiornamento Windows V5 |
Nella prima modalità,“Installazione rapida“, vengono installati solo gli aggiornamenti di sicurezza importanti per il sistema in questione.
Nella modalità“definita dall’utente“, invece, vengono proposti anche altri file di installazione e driver non classificati come importanti.
Posta elettronica sicura con Outlook Express
Outlook Express ha contribuito in modo significativo alla diffusione dei worm di posta elettronica perché mancava di funzioni di protezione adeguate. Microsoft le ha ora aggiunte. Nella scheda “Sicurezza” in “Opzioni” sono state aggiunte 2 nuove opzioni:
La funzione“Mostra avviso quando altre applicazioni tentano di inviare e-mail con il mio nome” ha lo scopo di proteggere dai virus della posta che utilizzano Outlook Express come bomba postale tramite script.
La funzione“Blocca immagini e altri contenuti esterni nei messaggi di posta elettronica HTML” offre ciò che altri client di posta elettronica sono in grado di fare da tempo. Le immagini e gli altri oggetti nei messaggi di posta elettronica HTML non vengono più ricaricati quando questa opzione è attivata.
Outlook Express |
Quando si tenta di avviare i file ricevuti per posta, ora viene visualizzato anche un messaggio di avviso per l’utente.
Gestione ottimizzata della memoria
“Data Execution Prevention (DEP)” è il nome della nuova protezione della memoria di Windows XP con SP2. Microsoft intende utilizzarla per impedire l’esecuzione di codice di programma introdotto da un buffer overflow. Tuttavia, la nuova funzione non è in grado di sopprimere l’effettivo buffer overflow.
Il problema dei buffer overflow è descritto molto bene nell’articolo Buffer overflow e altri punti di rottura predeterminati di Heise.de.
Microsoft ha ricompilato il proprio codice di programma con modifiche volte a prevenire i buffer overflow dei programmi a 32 bit. Microsoft ha spiegato la nuova gestione della memoria in modo più dettagliato al link.
In Windows XP nel Service Pack 2, l’intera operazione è chiamata prevenzione dell’esecuzione dei dati. Se nel sistema è presente una CPU che offre tali sistemi di protezione dal lato hardware (ad es. Athlon 64 con la funzione NX), viene attivata anche questa. Altrimenti, Windows XP con SP2 emula questa funzione.
La funzione di protezione si trova in Pannello di controllo -> Sistema -> Avanzate -> Prestazioni del sistema -> Impostazioni nella scheda “Prevenzione dell’esecuzione dei dati”.
Per impostazione predefinita, la prevenzione dell’esecuzione dei dati è attivata solo per i programmi e i servizi importanti del sistema operativo Windows. Tuttavia, la protezione può essere estesa a tutti i programmi, con possibilità di eccezioni: Non tutti i programmi devono funzionare senza errori. Se un’applicazione causa problemi dopo l’SP2, ciò potrebbe essere dovuto alla nuova funzione. In questo caso, è necessario aggiungere l’applicazione all’elenco delle eccezioni.
Protezione della memoria |
Opzionalmente, si può anche lavorare con l’Application Compatibility Toolkit e impostare“DisableNX” per la rispettiva applicazione – > Dettagli” href=”http://www.microsoft.com/en-us/download/details.aspx?id=7352″ target=”_blank” rel=”noopener”>Microsoft Downloads-Details. Questi vengono quindi memorizzati nel registro di sistema in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionAppCompatFlags, a condizione che il database appena creato sia stato salvato e inserito nel registro di sistema con“Installa“.
Protezione della memoria |
Molto più problematici dei singoli programmi, tuttavia, sono i driver che possono andare fuori passo a causa della modalità PAE (Physical Address Extension). Di norma, non dovrebbero esserci problemi se i produttori di driver hanno rispettato le specifiche. Tuttavia, il passato dimostra che molti driver sono ancora programmati in modo approssimativo e possono causare uno sfasamento del sistema, anche se la situazione è notevolmente migliorata dopo Windows XP.
È possibile disattivare completamente la nuova protezione della memoria tramite il file boot.ini(Pannello di controllo -> Sistema -> Avanzate -> Avvio e ripristino -> Modifica) se si imposta la voce“/NoExecute” su“/Execute“. Con l’interruttore /Execute, la protezione dell’esecuzione viene disattivata per l’intero sistema.
Altre notizie
Oltre a numerose correzioni di bug (vedi ulteriori link), ci sono altre piccole cose da osservare (senza pretese di completezza, vedi ulteriori link sotto).
- Il servizio di messaggi e avvisi sarà disattivato. In passato, questi hanno ripetutamente disturbato e infastidito gli utenti facendo apparire finestre con testi provenienti da Internet.
- Con il Service Pack 2, Windows XP supporta direttamente il Bluetooth e non dipende più da suite di produttori terzi per le funzioni di base.
- Il numero di connessioni TCP/IP simultanee che il client XP crea verso il mondo esterno è stato fermamente limitato a 10 con il SP2 (vedere anche Heise Security). In precedenza il valore era fissato nel registro di sistema, ma ora è probabilmente fissato nel file TCPIP.SYS. Se si supera questo valore, si ottiene il messaggio di errore nel registro degli errori: EventID 4226: TCP/IP ha raggiunto il limite di sicurezza impostato per il numero di tentativi di connessione TCP simultanei. Gli utenti delle reti di condivisione di file si sono già lamentati in anticipo e dispongono di una soluzione di patch, che tuttavia non proviene da Microsoft stessa, ma da ambienti piuttosto sconosciuti. Si suppone che esista una patch da http://www.lvllord.de/ – anche per la versione finale del Service Pack 2 – che può essere utilizzata per rimuovere le restrizioni.
- Sono state apportate alcune modifiche al servizio RPC per Windows XP SP2 che rendono le interfacce RPC sicure per impostazione predefinita e riducono la superficie di attacco di Windows XP.
- Windows Media Player 9 viene installato come parte di Windows XP SP2. Microsoft giustifica questo passo con i noti problemi di sicurezza delle edizioni precedenti di Media Player.
- Windows Movie Maker sarà installato nella versione 2.1.
- DirectX viene installato nella versione 9.0c.
- Il nuovo Windows Installer 3.0 dovrebbe riconoscere meglio le interdipendenze delle patch e semplificare in generale la gestione delle patch.
Conclusione
Microsoft ha inserito molto nel Service Pack 2, ma dovrà comunque accettare le critiche.
Il firewall offre una buona protezione di base, ma è inutilmente facile da sfruttare per gli hacker più esperti a causa della mancanza di checksum e del fatto che quasi tutti gli utenti sono connessi come amministratori. Inoltre, manca un vero e proprio firewall applicativo per tutte le connessioni a Internet.
Le estensioni di Internet Explorer sono belle, ma sono da tempo standard in altri browser. Almeno Microsoft ha chiuso la porta alla vita di Internet Explorer. Senza alcuna azione da parte del navigatore, non funziona più nulla, nemmeno un download.
Resta da vedere se la gestione ottimizzata della memoria nella sua forma attuale fornisca davvero una protezione duratura contro i problemi di sicurezza causati dai buffer overflow. Molto più urgente è la questione se i driver e le applicazioni di altri produttori siano in grado di far fronte alle nuove condizioni di gestione della memoria.
Ulteriori link
- Al link in lingua inglese 835935 sono disponibili tutte le note di rilascio del Service Pack 2 in inglese.
- L’SP2 può essere scaricato dall’archivio software.
- Gli strumenti di supporto per il Service Pack 2 di Windows XP possono essere scaricati qui.
- Con l’ID 811113 Microsoft ha riepilogato tutte le correzioni incluse nel Service Pack 2. Poiché tutti i Service Pack sono cumulativi, il Service Pack 2 contiene anche tutte le correzioni già offerte con il Service Pack 1a.
- All’indirizzo https://support.microsoft.com/en-us/help/14223/windows-xp-end-of-support è possibile trovare il centro di supporto per il Service Pack 2 con ulteriori informazioni. Il supporto per Windows XP è scaduto l’8 aprile 2014.
- Microsoft ha riassunto tutti gli errori risolti con il Service Pack 2 sotto l’ID 811113.
- Nell’ID 842242 è riportato un elenco di programmi che causano problemi con il firewall dopo l’installazione del Service Pack 2 e le modalità per risolverli.
Quiè possibilescaricareuno strumento di blocco del SP2, che impedisce l’invio del Service Pack 2 tramite WindowsUpdate fino a dicembre 2004 (non più disponibile). Lo strumento è particolarmente interessante se si desidera mantenere Windows Update attivo e automatico, ma non si vuole o non si può ancora passare al SP2.