Mer uppföljning från IDG

Svenska IDG skrev en artikel om att svensk SP2 nu kan hämtas från microsoft.com. I forumet ställdes ett antal frågor. Vissa besvarades av besökare, andra inte. Så - låt mig kommentera där jag tycker att det behövs.

Vilka förbättringar får man förutom den nya förbättrade brandväggen?
De stora förbättringarna jag kommer ihåg just nu, förutom brandväggen, är stöd för Bluetooth, utökad programvara för trådlösa nätverk, ökad säkerhet i Internet Explorer och stöd för en mängd språkgrupper - bl.a. nio olika samiska språk. Nyheter är bland annat dataexekveringsskydd (NX, DEP...) och Säkerhetscenter.

För administratörer finns en mängd nya grupprincipinställningar. Bland annat kan man hantera brandväggar och de nya IE-inställningarna centralt genom grupprinciper. Dessutom kan brandväggen nu konfigureras genom netsh.

Mer information finns på http://www.microsoft.com/sverige/products/windows/xp/sp2 och däromkring.

NX vs. /GS
Någon skrev "Buffer overflow-skyddet är väl snarare bara stöd för NX-bit hos de processorer, AMD64, som har en sådan... Alltså inte vanliga P4 eller Athlon XP. Bara Athlon64, Opteron o.s.v...". Någon svarade "Nej, dom har kompilerat om kod för overflow. Det du pratar om har med exkvering av kod att göra, var den får exekveras."

Båda har rätt. Å ena sidan har alla binärfiler i Windows kompilerats om med flaggan /GS. Detta innebär att många buffertöverskridningar kan upptäckas om de skulle utnyttjas - och om så sker stängs processen helt fräckt ned. Detta påverkar bara de binärfiler som ingår i själva Windows, och påverkar alltså inte program från andra företag.

Å andra sidan finns nu även inbyggt stöd för NX - det vi kallar för dataexekveringsskydd eller DEP. DEP kan upptäcka buffertöverskridningar i alla processer - oavsett hur binärfilen har kompilerats - och stänger också av processer när en buffertöverskridning upptäcks. DEP finns i två varianter. Om processorn har inbyggt stöd för DEP används funktionerna i maskinvaran. Exempel på detta är AMDs 64-bitarsprocessorer. Om processorn inte stöder DEP sker funktionen istället genom programvara. Alltså kan alla datorer skyddas av DEP.

Ett problem med DEP är - som alltid - kompatibilitet. Vissa program kanske inte fungerar under DEP. Du kan därför inaktivera DEP för vissa processorer om du vill - antingen när en process stängs av (en dialogruta visas med instruktioner), eller senare genom att logga in som Administratör, öppna Kontrollpanelen, öppna System, öppna fliken Avancerat, klicka på Inställningar vid Prestanda och öppna fliken Dataexekveringsskydd.

Här kan du ange för vilka program DEP ska och inte ska köras.

[...]en Portable Device guide (ej översatt)[...]
Hm. Detta har jag inte hört talas om. Jag ska kolla upp vad detta är för något, återkommer snarast...

Uppdatering 2004-09-08: "Portable Device guide" kommer inte från Windows XP SP2. Den enda förekomsten av "Portable Device" som finns i ordlistorna kommer från beskrivningen av Firewire i en MFL-fil.

[Brandväggen]hindrar inte utgående trafik per applikation
Korrekt. Brandväggen hojtar bara till när program på datorn öppnar ingående portar, utgående portar blockeras inte.

Hur f_n stänger man av Informationsfältet?
Informationsfältet kan visas av flera olika skäl - popup-fönster som inte visas, ActiveX-kontroller som blockeras mm. Det finns inte en enda inställning som slår på eller av Informationsfältet. Däremot kan du placera webbplatser i olika zoner och ange olika säkerhetsinställningar för olika zoner. På så vis bör du kunna balansera säkerhet & användbarhet. Allt detta kan göras genom att i Internet Explorer klicka på menyn Verktyg, välja Internet-inställningar och öppna fliken Säkerhet.

Ta gärna en titt på http://blogs.msdn.com/tonyschr/archive/2004/03/21/93551.aspx - där står det exakt vad som kan leda till att Informationsfältet visas.

Som alltid - synpunkter på språket i SP2 mottages tacksamt.