Auf den ersten Blick erscheint Windows XP vor allem als eine neu eingekleidete Variante von Windows 2000 Professional. Betrachtet man dagegen die Netzwerkfunktionalität, erkennt man zahlreiche Verbesserungen im Detail.
Allerdings sind die Netzwerkverbindungen nun standardmässig nicht mehr im Startmenü zu finden. Sie können aber durch die Anpassung der Eigenschaften des Startmenüs, wie in der ersten Folge der Serie erläutert, aufgenommen werden. Ansonsten führt der Weg zu ihrer Konfiguration über die Systemsteuerung und dort den Bereich Netzwerkverbindungen. Das "DFÜ" ist zwar aus der Bezeichnung verschwunden. Es werden aber auch weiterhin sowohl lokale Verbindungen als auch solche, die Wähl- oder Standleitungen nutzen, hier konfiguriert.
Die Einrichtung neuer Verbindungen wird in gewohnter Weise über einen Assistenten unterstützt, wobei allerdings die Zahl der angebotenen Optionen etwas geringer scheint. Das liegt aber nur daran, dass die Optionen einerseits anders strukturiert und andererseits besser beschrieben sind. Hier sind es zunächst mehr die Details, in denen der Unterschied liegt: So können Internetverbindungen beispielsweise auch direkt mit Hilfe einer CD des Internet-Providers, die im Installationsprozess verwendet wird, konfiguriert werden.
Interessant sind die Details. So gibt es im Kontextmenü von Netzwerkverbindungen den Befehl Verbindungen überbrücken. Damit wird aus Windows XP eine Bridge zwischen verschiedenen Netzwerksegmenten.
Hier stellt sich natürlich die Frage nach dem Sinn einer solchen Option in einem Betriebssystem wie Windows XP Professional. Microsoft verweist deshalb auf kleinere Offices, die oft nur langsam ihre Technik umstellen. Mit Windows XP Professional können auf Systemen mit zwei Netzwerkadaptern beispielsweise Segmente, die einerseits mit Cat5-Ethernet-Verkabelung und andererseits mit BNC-Koaxial-Verkabelung oder mit Wireless-Verbindungen ausgestattet sind, verknüpft werden. In solchen Umgebungen ist das Thema der Performance nicht von zentraler Bedeutung. Viel wichtiger ist es, überhaupt kommunizieren zu können. Und das lässt sich mit dieser Option einfach erreichen.
Auch Optionen wie das Umbenennen von Verbindungen, die Statusanzeige oder ein Assistent, der beim "Reparieren" im Sinne einer richtigen Konfiguration von Netzwerkverbindungen hilft, sind direkt über den neu gestalteten Bereich Netzwerkverbindungen der Systemsteuerung erreichbar.
Am interessantesten sind aber die neuen Eigenschaften der Netzwerkverbindungen. Im Register Allgemein fällt der standardmässig installierte QoS-Paketplaner auf. Die Quality-of-Service-Dienste (QoS) wurden von Microsoft mit Windows 2000 eingeführt, um eine gezielte Steuerung der Bandbreiten im Netzwerk zu ermöglichen. Der QoS-Paketplaner ist die Client-Komponente dieses Dienstes.
Allerdings wird QoS erst bei einer breiten Nutzung in Netzwerken sinnvoll. Dadurch, dass die QoS-Unterstützung nun standardmässig installiert ist, hat Microsoft aber eine wichtige Voraussetzung für die Verbreitung solcher Dienste geschaffen.
Standardmässig eingerichtet ist auch die Datei- und Druckerfreigabe für Microsoft-Netzwerke, mit der Peer-to-Peer-Netze realisiert werden können. Falls die Freigabe von Ressourcen verhindert werden soll, kann entweder dieser Dienst deaktiviert oder über die Gruppenrichtlinien die Nutzung eingeschränkt werden.
Neu ist die Option Authentifizierung, mit der Zugriffe auf einen bestimmten Computer gezielt gesteuert werden können. So kann etwa eine X.509-basierende Authentifizierung erzwungen werden, wenn Benutzer über eine Schnittstelle zugreifen. Das ist vor allem für die Nutzung von drahtlosen, aber auch von LAN- oder Remote-Verbindungen interessant.
Für den Einsatz von X.509 ist allerdings eine PKI erforderlich. Da EAP (Extensible Authentication Protocol) verwendet wird, können grundsätzlich auch andere Authentifizierungsmechanismen von Drittherstellern bis hin zu biometrischen Verfahren eingebunden werden.
Dass Sicherheit für Microsoft heute ein sehr heisses Thema ist, wird spätestens im Register Erweitert der Eigenschaften der Netzwerkverbindungen deutlich. Dort kann die Nutzung der Internetverbindungsfirewall konfiguriert werden. Diese Option, die eine Firewall mit Stateful-Inspection-Filterung aktiviert, darf nur in Verbindung mit externen Verbindungen zum Internet genutzt werden.
Stateful Inspection bedeutet, dass jeweils der gesamte Ablauf einer Verbindung betrachtet wird. Grundsätzlich geht es vor allem darum, dass eingehende Pakete durch ausgehende Pakete initiiert sein müssen. So darf es beispielsweise nur eine Antwort eines FTP-Servers geben, wenn von einem lokalen FTP-Client auf diesen zugegriffen worden ist.
Da mit diesem Dienst die gesamte interne Netzwerkkommunikation unterbunden werden kann, darf er nur auf Verbindungen mit dem Internet konfiguriert werden. Durch Auswahl von Einstellungen lassen sich dann die Details festlegen. So kann beispielsweise der Zugriff auf einen genau festgelegten SMTP-Server beschränkt werden.
Für kleine Umgebungen bringt diese Funktionalität einiges an Sicherheit. Der Schutz einer solchen Low-End-Lösung kann allerdings nie optimal sein, da Firewalls typischerweise aus mehreren Stufen bestehen und komplex zu konfigurieren sind. Einfache Black-Box-Lösungen, wie sie mittlerweile von vielen Herstellern angeboten werden, lassen sich damit aber durchaus ersetzen. Und die einfache Konfiguration ist zweifelsohne ein Argument für diese integrierte "Firewall".
Im Bereich der Sicherheit im Netzwerk gibt es noch zwei weitere wichtige Verbesserungen: Zum einen kann das EFS (Encrypting File System) nun auch für Offline-Dateien eingesetzt werden, die sich somit in verschlüsselter Form auf Notebooks speichern lassen.
Zum anderen ist das EFS nun als Multi-User-Lösung implementiert. Microsoft hat diese Fähigkeit schon von Beginn an vorbereitet, bei Windows 2000 aber noch nicht implementiert. Im Multi-User-EFS kann beispielsweise ein Benutzer MartinK auf Dateien zugreifen, die von ReneD verschlüsselt wurden - vorausgesetzt, er verfügt über ausreichende Zugriffsberechtigungen.
Differenzierte Festlegungen zur lokalen Sicherheit lassen sich mit Hilfe der lokalen Sicherheitsrichtlinie im Bereich Verwaltung der Systemsteuerung treffen. Über diese Dialoge können immer dann, wenn das System nicht in eine Domäne des Active Directory eingebunden ist, Einstellungen für die Systemsicherheit konfiguriert werden. Das beginnt bei Kennwortrichtlinien, die Mindestanforderungen für die verwendeten Kennwörter beinhalten, und geht bis hin zu den Richtlinien für die Nutzung öffentlicher Schlüssel und den IP-Sicherheitsrichtlinien. Mit den Einstellungen für öffentliche Schlüssel wird die Einbindung in PKIs gesteuert, und die IP-Sicherheitsrichtlinien schliesslich regeln die Nutzung von IPsec.
Gerade die beiden letzten Optionen werden allerdings typischerweise nur in Netzwerken mit einer zentralen Administration beispielsweise über die Gruppenrichtlinien des Active Directory eingesetzt.
Wirklich wichtig in diesem Bereich sind die Festlegungen unter Lokale Richtlinien - Sicherheitsoptionen. Dort findet sich eine Vielzahl von Optionen, um sicherheitsrelevante Parameter zu konfigurieren. Die Liste ist im Vergleich mit Windows 2000 noch einmal um einiges länger geworden. Wer ein sicheres System möchte, sollte sich auf jeden Fall intensiver mit diesen Einstellungen auseinandersetzen.
Für Unternehmen, die Gruppenrichtlinien einsetzen, spielen die RSoP (Resultant Set of Policies) eine wichtige Rolle. Mit dem Tool gpresult.exe ist eine gezielte Überprüfung solcher Festlegungen möglich.
Eine der interessantesten Funktionen vor allem für Anwender, die auch von zu Hause arbeiten, ist der Remote Desktop, der auch bei der Systemadministration eine nicht zu unterschätzende Rolle spielt. Faktisch handelt es sich dabei um einen Single-User-Terminalserver, der im Bereich System der Systemsteuerung aktiviert werden kann. Dazu öffnet man in den Systemeigenschaften das Register Remote und wählt die Option Benutzern erlauben, eine Remotedesktopverbindung herzustellen. Darauf müssen an derselben Stelle die Benutzer, die diesen Dienst nutzen dürfen, ausgewählt werden. Die Aktivierung dieser Funktion ist allerdings nur Administratoren gestattet.
Die Voraussetzung für die Nutzung dieses Dienstes ist ein Terminaldienst-Client oder eine Remote-Desktop-Verbindung, wobei sich die unterschiedlichen Bezeichnungen nur auf die Systeme beziehen, von denen aus die Verbindungen genutzt werden. Faktisch handelt es sich immer um die eine oder andere Variante eines Terminaldienst-Clients.
Wie auch bei den Terminaldiensten wird RDP (Remote Desktop Protocol) für die Kommunikation zwischen den Clients und dem "Server", also dem Windows-XP-System mit aktiviertem Remote Desktop, verwendet. Genutzt werden kann eine solche Lösung auch über vergleichsweise schmale Bandbreiten. Schon eine normale Modem-Verbindung reicht aus, damit Anwender gut mit dem entfernten System arbeiten können. Und wenn der Remote Desktop aktiviert ist, können auch Administratoren einfach auf Clients zugreifen und alle Verwaltungsfunktionen nutzen.
Es sind diese Details, die Windows XP im Vergleich auch mit Windows 2000 Professional zu einer deutlich besseren Option für den Einsatz sowohl als Client in Netzwerken wie auch als System für kleine Peer-to-Peer-Netzwerke machen.
