Stefan Tietze, Axel Vahldiek

Wunderheilung
Aus XP Home wird XP Professional
Wer Windows XP Home nutzt, verzichtet gegenber XP Professional auf wichtige Funktionen im Hinblick auf Sicherheit. Doch das muss nicht sein: Eine kleine Manipulation, und schon lsst sich mit einer XP-HomeSetup- oder -Recovery-CD auch ein XP Professional installieren - oder ein bereits installiertes XP Home zur Pro-Version umrsten.
enn bislang von einer Umrstung von Windows XP Home auf XP Pro die Rede war, ging es stets darum, mit irgendwelchen Patches oder Tools von Microsoft oder anderen Herstellern einzelne Funktionen wie etwa den Sicherheitsreiter im EigenschaftenDialog von Dateien und Ordnern nachzursten [1]. Doch es gibt einen Weg, ein XP Home zu einem echten XP Professional aufzursten, das sich sogar als solches meldet und viele Funktionen mitbringt, die sonst nur die teurere Pro-Version bietet. Lediglich einige der dort mitgelieferten Tools fehlen dem umgewandelten XP, wir nennen es mal HomePro. Ein so aktualisiertes Windows XP erlaubt endlich ein bequemes Arbeiten ohne AdminRechte [2, 3], unter anderem weil es ber das GUI zum Einstellen der Zugriffsrechte fr Dateien und Ordner verfgt. Zudem lassen sich Benutzerkonten und -gruppen bequem in der Computerverwaltung konfigurieren statt in der funktional eingeschrnkten Systemsteuerung. Wer Programme via Runas-Verknpfung in einem anderen Nutzerkontext starten mchte, braucht auerdem nicht mehr zwingend bei jedem Aufruf dass Passwort einzugeben, denn hier funktioniert die /savecred-Option [4]. Auch der Zugriff vom Arbeitsplatz-PC auf das heimische XP HomePro per Remote Desktop klappt [5]. Und wer seine Daten gern verschlsselt, kann das bordeigene EFS nutzen. Festplatten lassen sich in RAID-Systeme zusammenfassen [6]. Ordner lassen sich nicht mehr nur fr alle, sondern auch fr einzelne Nutzer im Netzwerk freigeben [7]. Selbst in eine Domne lsst sich das aufgebohrte XP hieven. Was noch alles klappt (und was nicht) steht in Kurzform in der Tabelle auf S. 155 und ausfhrlicher im Folgenden. CD mit XP Home mitsamt dem CD-Key sowie das Service Pack 2. Dass die Umwandlung berhaupt funktioniert, liegt an der Art, wie Microsoft XP Home gebaut hat. Die Programmierer haben es offenbar nicht parallel zur Pro-Version entwickelt, sondern lediglich Letztere nachtrglich jener Funktionen und Tools beraubt, die ihnen fr den heimischen Einsatz berflssig schienen. Doch whrend sich die Tools leicht entfernen lieen, waren die Funktionen nicht so leicht abzursten, denn die sind fest in den Systemdateien verankert. Sie hier herauszunehmen htte bedeutet, dass bei Home und Pro jeweils individuelle Systemdateien zum Einsatz gekommen wren, die dann jeweils eine eigene Pflege erfordert htten - statt eines Patches htte es beim Entdecken einer Sicherheitslcke gleich mehrerer bedurft. Um diesem Dilemma zu entgehen, haben die Programmie-

Schon alles dabei

Das Schne: Die Umwandlung klappt ohne jeden Download aus irgendwelchen Tauschbrsen oder von dubiosen Websites. Ntig sind nur die bereits vorhandene Installations- oder Recovery-

148

c't 2005, Heft 12

Praxis i Windows XP HomePro

rer in die Systemdateien Schalter integriert, die festlegen, ob der Anwender die enthaltenen Funktionen nutzen kann oder nicht. Die Entscheidung darber fllt das Setup-Programm whrend der Installation, und hier kann der Anwender eingreifen: Gaukeln Sie dem Setup-Programm einfach vor, dass es jetzt ein XP Pro zu installieren habe - und schon setzt es alle Schalter entsprechend.

mssen Sie erst noch das SP2 integrieren (siehe Kasten "Slipstream" auf S. 150). Eventuell sind noch weitere Handgriffe ntig, betroffen sind aber nur Besitzer von RecoveryCDs, bei denen das SP2 noch nicht im i386-Ordner eingebaut ist Die mssen nicht nur das SP2 integrieren, sondern auch noch Treiberaufrufe entfernen (siehe Kasten Treiber raus" auf S. 155).

Der 2-Byte-Patch Material-Liste

Der Ansatzpunkt ist also das XPSetup-Programm. Die dazugehrigen Dateien liegen zusammen mit smtlichen anderen fr die Installation ntigen Dateien im Verzeichnis "i386" auf der XP-CD. Bei allen weiteren Dateien auf der CD handelt es sich um Beigaben, die in diesem Fall verzichtbar sind. Wer keine Original-Installations-CD besitzt, sondern von seinem Hndler mit einer Recovery-CD abgespeist wurde, findet auf ihr statt des i386-Ordners womglich nur ein Abbild seiner Festplatte (Image). In diesem Fall liegt der Ordner jedoch meist direkt auf der Festplatte - die XPeigene Suchfunktion hilft beim Auffinden. Lsst sich weder auf CD noch auf Platte der Ordner ausfindig machen, bleibt noch eine Nachfrage beim Hndler, der einem den Ordner bitte nachliefern mge. Scheitert auch das, hat man leider Pech. Haben Sie den Ordner gefunden, sollten Sie als Erstes in einem Arbeitsverzeichnis auf der Festplatte eine Kopie davon erstellen, etwa in D:\Homepro. Wichtig ist, dass Sie nicht nur den Inhalt, sondern auch den Ordner i386 selbst mitkopieren und dessen Namen nicht ndern, die Arbeitskopie also spter in diesem Fall unter "D:\Homepro\i386" erreichbar ist. Falls Sie eine Neuinstallation planen, ist es hilfreich, vorher dafr zu sorgen, dass alle ntigen Treiber in Reichweite sind es ist sehr rgerlich, wenn Sie erst nach dem Setup feststellen, dass mangels Treiber der Weg ins Internet versperrt ist. Besitzer von Recovery-CDs sollten noch aus einem anderen Grund Vorsorge treffen: Hier liegen die Treiber womglich nicht auf den beim PC mitgelieferten CDs oder auf der Homepage des Herstellers, sondern schlimmstenfalls Auch wenn das Setup-Programm {korrekterweise) ankndigt, jetzt XP Professional zu installieren: Es startet von einer XPHome-CD. nur auf jener Festplatte, die Sie bei einer Neuinstallation berschreiben - Suchbegriffe wie Treiber" oder Driver" helfen beim Auffinden. Schlielich sollten Sie eine weitere unvernderte OriginalKopie des i386-Ordners auf die Platte kopieren. Bei unseren Tests kam es in einem Fall vor, dass wir aus unbekanntem Grund whrend eines Updates Dateien daraus bentigten, und zwar zu einem Zeitpunkt, als das CDLaufwerk nicht eingebunden war. Kopieren Sie den Ordner i386 selbst bitte ebenfalls wieder mit, sodass das Original spter etwa unter D:\Homepro\Original\ i386 erreichbar ist. wir aufgrund der dann fehlenden Sicherheitsfunktionen [8] dringend davon ab, auf das SP2 zu verzichten. Um herauszubekommen, ob der i386-Ordner aktuell ist, reicht ein Blick in die Eigenschaften der hierin liegenden Programmdatei Winnt32.exe. Unter dem zweiten Reiter Version" findet sich die Dateiversion. Ist das Service Pack 2 bereits integriert, steht hier als Versionsnummer 5.1. 2600.2180 (xpsp_sp2_rtm.0408032158)". Wenn dem nicht so ist, Nach dem Abschluss der Vorbereitungen kann die eigentliche Manipulation folgen. In der Arbeitskopie des 386-Ordners liegt eine Datei namens Setupreg.hiv", dessen Dateityp auf ihren Inhalt hinweist: Hier stecken Registry-Schlssel drin (Hives" sind Registry-Zweige). Die knnen Sie mit dem Registry-Editor bearbeiten, der nach Eingabe von Regedit" unter Start/Ausfhren startet. Dort die Datei zu laden ist leider nicht so trivial wie das ffnen einer Textdatei mit Word: Markieren Sie zuerst den Schlssel HKEY_LOCAL_MACHINE" und klicken dann unter Datei" auf

Achtung, Risiko!
Um es in aller Deutlichkeit zu sagen: Die hier vorgestellte Umwandlung ist mit zwei Risiken verbunden. Das Erste ist, dass Microsoft irgendwann mit einem Update oder Service Pack eine Sperre einbauen knnte, die das Nutzen eines XP Home als Pro-Version verhindert. Und dann scheitert schlimmstenfalls vielleicht die Anmeldung oder gar der komplette Systemstart. Schon das Service Pack 2 lsst sich nicht nachtrglich in ein XP HomePro einspielen - fr ein vielleicht mal erscheinendes Service Pack 3 drfte dasselbe gelten. Das zweite Risiko besteht darin, dass nach derzeitigem Kenntnisstand keine Mglichkeit besteht, eine Umwandlung in eine HomePro-Version wieder rckgngig zu machen. Das XP-Home-Setup bietet kein Downgrade an, und die XP-Home-Reparaturinstailation weigert sich, ein XP Pro zu reparieren. Aus diesen Grnden empfehlen wir dringend, vor der Umwandlung ein Abbild der Systempartition (Image) anzufertigen sowie ein Backup smtlicher persnlichen Daten. Ein Imaging-Programm finden Sie beispielsweise auf der Heft-CD der c't 24/04, ein Backup-Skript stellten wir in [14] vor. Andernfalls bleibt fr die Rckkehr zur XP Home nur der Weg ber die komplette Neuinstallation des Systems von Ihrer Original-CD. Wer das hier Beschriebene nur aus Interesse mal ausprobieren mchte, sollte statt seines Arbeitsrechners sowieso besser ein Testsystem nehmen. Am einfachsten klappt es mit einem PC-Emulator, alternativ reichen ein Testrechner oder notfalls eine Parallel-Installation des Systems, mehr dazu in [15]. Von einem Einsatz der Umwandlung in Produktiv-Umgebungen, in denen lngere Ausfallzeiten nicht hinnehmbar sind, raten wir ausdrcklich ab.

Bitte aktualisieren
Vor dem Ausfhren der Manipulation mssen Sie sicherstellen, dass der i386-Ordner auf aktuellem Stand ist. Aktuell bedeutet, dass er nicht nur die Dateien fr das nackte XP, sondern auch die fr die Installation des Service Pack 2 ntigen Dateien enthlt. Nur in diesem Fall installiert das Setup Windows und das SP2 in einem Rutsch ("Slipstream-lnstallation"). Das ist wichtig, denn bei unseren Tests scheiterte das nachtrgliche Einspielen des SP2 stets mit einer Fehlermeldung, sobald wir XP Home erst mal zur ProVersion aufgebohrt hatten. Nach einem solchen Versuch konnten wir uns nicht mal mehr an das System anmelden. Ihnen wrde in einem solchen Fall nur das Zurckspielen eines zuvor angefertigten Images oder - falls das fehlt - gar nur die Neuinstallation bleiben (siehe dazu auch den nebenstehenden Kasten Achtung, Risiko"). Andererseits raten

c't 2005, Heft 12

149

Praxis I Windows XP HomePro

Nach dem Update glaubt XP Home fest daran, jetzt ein XP Professional zu sein. Struktur laden" (ist der Menpunkt ausgegraut, haben Sie den falschen Schlssel markiert). Im aufpoppenden Fenster ffnen Sie die Setupreg.hiv. Regedit fragt nach einem Namen fr den neu zu ladenden Schlssel, den Sie beliebig whlen knnen, etwa Homekey". Anschlieend stehen Ihnen die Schlssel aus der Setupreg.hiv unter dem Unterschlssel HKEY_LOCAL_ MACHINE\Homekey zum Bearbeiten zur Verfgung. Hangeln Sie sich hier zum Unterschlssel ControlSet001\Services\setupdd durch. Hierin finden Sie mehrere Eintrge, der hier allein relevante heit (Standard)". Ein Doppelklick darauf ffnet diesen Binrwert zum Bearbeiten. Hier finden Sie zwischen diversen 00" eine 01" und eine 02", die sie beide durch 00" ersetzen mssen. Besttigen Sie mit OK", was die nderung in der Setupreg.hiv speichert. Nun muss die geladene Datei wieder raus aus dem RegistryEditor, denn sonst meckert das XP-Setup spter, weil die Datei in Benutzung sei. Zum Entladen markieren Sie den frisch erstellten Schlssel Homekey und whlen unter Datei den Punkt Struktur entfernen". boten, wenn wir als i386-Quelle Recovery-CDs verwendeten. Das Brennen des Ordners auf CD ist brigens nicht ntig, die Installation gelingt auch von der Festplatte (wer dennoch eine eigene Setup-CD erstellen mchte, findet eine Anleitung im Kasten auf S. 152). Egal, ob Update oder Neuinstallation: Auf jeden Fall sollten Sie vorher ein Abbild der Systempartition anfertigen (siehe Kasten Achtung, Risiko!" auf S. 149). Vor einem Update sollten Sie zudem smtliche laufenden Programme beenden und den Virenscanner ausschalten. Auf der sicheren Seite sind Sie, wenn Sie unter Start/Ausfhren das Systemkonfigurationsprogramm durch Eingabe von msconfig" starten. Unter dem letzten Reiter Systemstart" entfernen Sie einfach alle Hkchen und klicken auf bernehmen". Des Weiteren setzen Sie unter dem Reiter Dienste" ein Hkchen vor Alle Microsoft-Dienste ausblenden" und entfernen bei den restlichen noch angezeigten Diensten ebenfalls die Hkchen. Anschlieend ist ein Neustart fllig. Nach dem Update knnen Sie die gerade ausgeschalteten Autostarts und Dienste wieder einschalten, obwohl das meist unntig ist [9]. Einzige Ausnahmen sind Virenscanner und Firewall, weshalb Windows hier auch in Form des Sicherheitscenters darauf aufmerksam macht, wenn sie nicht laufen. Anschlieend knnen Sie bei laufendem Windows das Programm Winnt32.exe" starten,

welches direkt in der i386-Kopie liegt. Es bietet Ihnen zunchst die Wahl der Installationsart an: Ein Update belsst das installierte XP samt allen Dateien im alten Zustand und rstet lediglich die XP-Pro-Funktionen nach - sofern das Update denn klappt, dazu spter mehr. Eine Neuinstallation hingegen ist ein Neuanfang, den man nur auf einer sauberen Partition wagen sollte. Zwar gestattet das Setup auch die Neuinstallation in jene Partition, in der auch schon XP Home liegt, doch rt Microsoft ausdrcklich davon ab, und wir knnen uns dem nur anschlieen: Zu leicht kommen Programme und auch Windows selbst durcheinander, welche Dateien zu welchem System gehren. Die Installation luft dann mit wenigen Handgriffen fast wie von XP Home gewohnt (mehr zur XP-lnstallation unter [10]). Unter anderem mssen Sie Ihren CD-Key eingeben - keine Bange, hier funktioniert der mitgelieferte XP-Home-Key, obwohl das Setup XP Professional installiert.

Der richtige Antrieb

Whrend der Installation luft auch die Hardwareerkennung durch. Dabei knnen fr jede Hardware zwei Situationen eintreten. Fall 1: Das Setup hat einen Treiber dabei, dann verwendet es normalerweise diesen. Der sollte auch problemlos laufen, da die vom Setup mitgebrachten Treiber den WindowsLogo-Test bestanden haben. Bei einem Update verwendet es den mitgebrachten Treiber jedoch

nur, wenn er aus Sicht des Setup besser geeignet ist als ein bereits vor dem Update installierter Treiber. Fall 2: Es hat keinen Treiber dabei. Bei einem Update ist das kein Problem, denn in diesem Fall belsst das Setup einfach die installierten Treiber. Bei einer Neuinstallation hingegen mssen Sie die Treiber selbst nachinstallieren. Eventuell poppen whrend der Installation Fehlermeldungen oder Nachfragen auf. So fragte whrend des Updates auf einem Dell-Notebook das Setup, ob es einen Modem-Treiber installieren solle, der kein Windows-Logo trage. Seltsamerweise tauchte das genannte Modem vor der Installation im Gertemanager nicht auf, stattdessen war hier ein anderes installiert. Mit dem dafr verwendeten Treiber war die Hardwareerkennung aber wohl nicht zufrieden, sodass es stattdessen einen anderen, frher installierten Treiber verwenden wollte, den es ebenfalls im System fand. Die Folgen waren weitere Nachfragen, weil das Setup irgendwelche Dateien nicht finden konnte, und schlielich gar ein Bluescreen. Letztlich stellte sich das Ganze jedoch als kosmetisches Problem dar, denn trotz der ganzen Aufregung war das Setup sauber durchgelaufen. Lediglich der Treiber fr das Modem war eine Ruine, doch eine erneute Installation des korrekten Treibers behob das Problem. Von vornherein vermeiden lie es sich, wenn wir das Modem vor dem Update im Gertemanager lschten und ber die XP-Home-Hardwareerkennung neu installierten.

Slipstream
Die Integration des Service Pack 2 in den i386-Ordner gelingt relativ leicht. Zuerst muss das Komplett-Paket des SP2 her. Das lieferte c't auf der Heft-CD der Ausgabe 19/04, alternativ finden Sie das rund 270 MByte groe Paket auch via Soft-Link bei Microsoft: Hier knnen Sie es herunterladen oder eine CD bestellen, die Microsoft Ihnen dann nach eigenen Angaben kostenlos zuschickt. Das Einbauen des SP2 in das i386-Verzeichnis erledigt ein Befehl auf der Kommandozeile. Wenn etwa beide im Ordner D:\Homepro liegen, lautet er: D:\Homepro\Xpsp2.exe /integrate:D:\ Homepro Der Befehl ist gegebenenfalls anzupassen, etwa wenn das Programm-Paket des SP2 einen anderen Namen als Xpsp2.exe trgt. Wichtig ist, dass die Pfadangabe hinter der Option ,,/integrate" nicht auf das i386-Verzeichnis selbst, sondern auf dessen berordner weist.

Auf die Platte

Mit dem umgebauten i386-Ordner kann man nun XP als ProVersion installieren, wahlweise als Update eines bereits installierten Windows oder als Neuinstallation - allerdings wurde uns das Update nicht immer ange-

150

c't 2005, Heft 12

Praxis I Windows XP HomePro

Der entscheidende Schlssel: ndert man hier den Wert von (Standard)" komplett auf 00", installiert das Setup-Programm von XP Home ein XP Professional. Andere Fehler knnen auftreten, wenn der Hersteller einer Recovery-CD Dateien aus dem i386-Ordner entfernte (etwa die Datei Netmap.inf), von denen das aus dem SP2 zurckgespielte Original-Setup erwartet, dass sie vorhanden sind. Hier bleibt dann nur, die Fehlermeldung wegzuklicken, die Installation fortzusetzen und Daumen zu drcken, dass keine wichtige Datei fehlt. Luft alles, haben Sie Glck gehabt, wenn nicht, haben Sie das Image. Name tuscht, denn es handelt sich lediglich um einen Aufsatz auf das NTFS-Dateisystem. Ist XP auf einer FAT32-Partition installiert, muss man diese erst umwandeln, um in den Genuss von EFS zu kommen. Das erledigt die Anweisung convert c: /fs:ntfs auf der Kommandozeile (AdminRechte erforderlich). Vorsicht: Die Umwandlung lsst sich mit Bordmitteln nicht rckgngig machen. Auf einer NTFS-Partition finden Sie in den Eigenschaften von Dateien und Ordnern unter Allgemein/Erweitert die Option Inhalt verschlsseln, um Daten zu schtzen". Ein Hkchen davor, und schon kann n i e a n d anderes mehr die Datei entschlsseln. Das Verschlsseln einer Datei bedeutet brigens nicht, dass

Fertig
Das Betriebssystem, das Sie nach der Installation auf der Festplatte vorfinden, sieht vertraut aus: Die meisten nderungen fallen auf den ersten Blick nicht auf. Nach einem Update finden Sie smtliche Applikationen funktionstchtig an ihrem alten Platz, Desktop und Startmen sind im gewohnten Zustand und auch sonst wirkt alles bekannt. Doch ein Blick in die Systemsteuerung unter System zeigt: Hier luft ein System, das sich selbst fr ein Windows XP Professional hlt. Was fehlt, ist ein Besuch der Windows-Update-Seite, um XP mit den letzten Patches auf den aktuellen Stand zu bringen keine Bange, die rckt Microsoft trotz der Umwandlung derzeit ohne Murren raus. Ebenfalls fllig ist leider eine Aktivierung des frisch installierten Windows, doch auch die klappte bei unseren Tests stets problemlos. Anschlieend knnen Sie sich endlich den neuen Funktionen widmen, die Ihr Windows nun hat. Das Folgende beschreibt die wichtigsten in Kurzform.

niemand mehr an die Datei herankme, etwa um sie zu lschen oder zu berschreiben: Sptestens nach dem Einbau der Festplatte in einen anderen PC kommt ein Angreifer dran - doch wenn er sie dort ffnet, bekommt er nur Datenmll zu sehen. Eine fiese Falle lauert hier noch: Nicht bereits bei der Installation, sondern erst beim ersten Einsatz von EFS erzeugt Windows den dafr ntigen Schlssel. Falls Sie also nach dem Verschlsseln von Dateien ein vor dem Erstellen des Schlssels erzeugtes Image zurckspielen, ist der Schlssel futsch, und niemand kommt mehr an die Daten heran - auch Sie nicht! Derzeit ist auch kein Crack bekannt, um dennoch ranzukommen (was ja auch gut so ist). Daher sollten Sie gleich nach dem ersten Einsatz den Schlssel in eine Datei exportieren und diese an einem sicheren Platz aufbewahren. Der nicht unbedingt logischste, aber einfachste Weg, das zu erledigen, fhrt ber die InternetOptionen in der Systemsteuerung. Hier klicken Sie unter Inhalte" auf die Schaltflche Zertifikate", wo Sie das auf den Namen Ihres Nutzerkontos ausgestellte markieren und mit einem Assistenten exportieren knnen. Wichtig ist, dass Sie Ja, privaten Schlssel exportieren"

Nach der Manipulation erlaubt Windows XP HomePro endlich das individuelle Einstellen der Zugriffsrechte auf Dateien und Ordner. markieren, denn sonst taugt der Schlssel spter nur zum Ver-, nicht aber zum Entschlsseln und wre damit nutzlos. Bei den anderen Einstellungen bernehmen Sie einfach die Vorgaben. Die Datei, die am Ende rauskommt, sollten Sie auf externen Speichermedien an einem sicheren Ort verwahren, dabei jedoch auf die Haltbarkeit der Medien achten. Mehr zu EFS unter Windows XP steht in [11], eine Alternative, die auch mit dem originalen XP Home funktioniert, stellte [12] vor.

Boot-CD basteln
Eine bootfhige CD besteht im Wesentlichen aus zwei Teilen: dem Datenbereich, wo all jene Dateien liegen, die im Explorer zu sehen sind, sowie dem Code im Bootsektor, der mit Windows-Bordmitteln nicht einsehbar ist. Um eine neue bootfhige CD zu brennen, mssen Sie den Bootcode nicht neu erfinden, es reicht, ihn von einer anderen CD zu kopieren, in diesem Fall von Ihrer OriginalSetup-CD von Windows XP. Das kostenlose Kommandozeilenwerkzeug "bbie" (siehe SoftLink) von Bart Lagerweij erledigt dies. Entpacken Sie das Programm etwa nach D:\ Homepro\bbie, ffnen dann eine Eingabeaufforderung und hangeln sich dort zum bbieVerzeichnis durch. Der Aufruf bbie X:
liest anschlieend das BootImage von der CD im Laufwerk X: und speichert es im bbieOrdner unter dem Dateinamen image1.bin. Dann geht es ans Brennen, was sich mit den meisten handelsblichen Brennprogrammen erledigen lsst. Beim weit verbreiteten Nero etwa whlen Sie als neues Projekt CD-ROM (Boot)" aus. Auf der Registerkarte Startopt." whlen Sie als ImageDatei" das von bbie gespeicherte Boot-Image. In den Experteneinstellungen mssen Sie keine Emulation" auswhlen, denn beim Boot-Code einer Original-XP-CD handelt sich nicht um ein Disketten-Image. Ins Feld Ladesegment" gehrt der normalerweise voreingestellte hexadezimale Wert 07C0. Die Anzahl der zu ladenden 512 Byte groen Sektoren betrgt 4, denn das Image hat eine Gre von 2 KByte. Die Optionen auf dem Reiter ISO sind bereits sinnvoll vorbelegt, wichtig ist das Hkchen vor dem Schalter ISO ' ; 1 ' Dateiversion nicht schreiben", sonst erscheint beim Start die Meldung CDBOOT: Couldn't find NTLDR". Nun brauchen Sie nur noch wie gewohnt den Datenbereich zu fllen, in diesem Fall eben mit dem gepatchten Ordner i386. Auerdem mssen hier alle im Wurzelverzeichnis der OriginalXP-CD befindlichen Dateien rein. Die zustzlichen Ordner sind nicht erforderlich. Anschlieend knnen Sie brennen. Besitzer einer Recovery-CD haben es nicht so leicht, eine genaue Anleitung wrde hier den Rahmen sprengen. Sie finden Hinweise in [16] sowie in [8].

Verschlsselung
XP HomePro bietet eine Dateiverschlsselung namens "Encrypted File System" (EFS). Der

152

c't 2005, Heft 12

Praxis | Windows XP HomePro

Zugriffsrechteverwaltung
Wirklich sicheres Arbeiten unter Windows klappt nur dann, wenn der Anwender im Alltag auf Administrator-Rechte verzichtet [13]. Der Grund dafr: Jedes Programm verfgt stets ber die gleichen Rechte wie der Anwender, der es startet. Startet also ein Administrator, der ber den vollen Zugriff auf das gesamte System verfgt, ein Schdlingsprogramm, darf es nach Belieben Systemdateien verndern oder berschreiben. Passiert das jedoch einem Nutzer mit eingeschrnkten Rechten, bleibt das System geschtzt, denn er darf Systemdateien allenfalls lesen, jedoch nicht manipulieren - der Virus vermag keinen groen Schaden anzurichten. Um dem Virus das Einnisten ins System vollstndig zu verwehren, mssen Sie dem Nutzer mit eingeschrnkten Rechten verbieten, irgendwelche Autostarts einzurichten. Hierbei handelt es sich um Programmaufrufe, die Windows whrend des Hochfahrens abarbeitet. Darf der Nutzer keine einrichten, haben auch Viren kaum noch eine Chance, sich im System einzunisten - beim nchsten Neustart starten sie nicht mehr mit und liegen dann nur noch als inaktive und leicht mit einem Virenscanner zu entsorgende Datei auf der Platte. Die meisten Autostarts sind eingeschrnkten Nutzem eh versperrt, die restlichen verrammelt das c't-Tool Kafu.exe (siehe Soft-Link, mehr dazu in [2]). Leider klappt das sichere Arbeiten nicht immer problemlos, weil die vorkonfigurierten Rechte nicht den Erfordernissen entsprechen. Zum Anpassen blieb unter XP Home nur der mhselige und fehlertrchtige Weg ber die Kommandozeile, doch jetzt hilft der neu hinzugekommene Sicherheitsreiter im Eigenschaften-Dialog von Dateien und Ordnern, sie anzupassen. Sie finden ihn erst, wenn Sie im Explorer unter Extras/Ordneroptionen/ Ansicht den Schalter Einfache Dateifreigabe verwenden (empfohlen)" ausschalten. Mehr zum Anpassen von Zugriffsrechten steht ausfhrlich in [3] und [4].

nen sich nun aus der Ferne mit Ihrem XP verbinden.

Ordnerfreigabe
Nicht immer muss es gleich die komplette Steuerung des PC sein: Oft reicht der Zugriff auf einen bestimmten Ordner. XP Home erlaubt jedoch nur eine pauschale Freigabe, eine Beschrnkung auf bestimmte Nutzer und ausgewhlte Aktionen ist dort nicht mglich. Doch mit dem aufgebohrten Windows klappt das endlich. Voraussetzung ist wieder, im Explorer unter Extras/Ordneroptionen/Ansicht das Hkchen vor Einfache Dateifreigabe verwenden (empfohlen)" zu entfernen. Anschlieend knnen Sie die Zugriffsrechte bers Netz detailliert regeln. Damit die eingerichtete Freigabe auch wirklich funktioniert, sind aus Sicherheitsgrnden einige Voraussetzungen zu erfllen: Erstens muss in der Firewall, die Sie unter Windows-Firewall" in der Systemsteuerung finden, unter Ausnahmen" ein Hkchen vor Datei- und Druckfreigabe" gesetzt sein, auerdem darf unter Allgemein" kein Hkchen vor Keine Ausnahmen zulassen" stehen. Zweitens muss das Benutzerkonto, das Sie whrend des Freigebens nutzen, mit einem Kennwort geschtzt sein. Drittens muss ein von auen zugreifender Nutzer Anmeldedaten eines auf Ihrem Windows vorhandenen Kontos verwenden. Sie mssen dem zugreifenden Anwender also Nutzername und Passwort jenes Kontos mitteilen. Alternativ knnen Sie aber auch auf Ihrem PC ein Konto einrichten, dass dieselben Anmeldedaten verwendet wie das Konto des via Netz zugreifenden Anwenders auf dessen PC. Noch eine kleine Falle: Wenn Sie etwa Nutzerin Tochter" den Fernzugriff auf einen Ordner erlauben, muss sie auch lokal drankommen knnen. Wenn jedoch die unter Sicherheit" vergebenen Zugriffsrechte der Tochter eben jenen verbieten, kommt sie trotz der Netzfreigabe nicht an den Ordner. Ausfhrlich berichtet [7] ber diese Klippen.

Das Snap-in Lokale Benutzer und Gruppen" in der Computerverwaltung steht nun auch unter XP HomePro zur Verfgung. XP-Home-Anwender auf das funktional eingeschrnkte Systemsteuerungselement Benutzerkonten" oder auf die fehlertrchtig zu bedienende Kommandozeile angewiesen. Zwar ist das ntige Snap-in fr die Management-Konsole vorhanden und lsst sich durch Eingabe von Lusrmgr.msc" unter Start/Ausfhren aufrufen, verweigert dann jedoch den Dienst mit dem Hinweis, dass es unter XP-Home nicht verwendet werden knne. XP HomePro beweist das Gegenteil: Die Computerverwaltung zu erreichen in der Kategorie Leistung und Wartung/Verwaltung" in der Systemsteuerung enthlt nun unter System den Eintrag Lokale Benutzer und Gruppen", hinter dem sich das Snap-in verbirgt. Hier knnen Sie bequem neue Nutzerkonten einrichten und diese bestimmten Gruppen zuordnen. Die Gruppenmitgliedschaft entscheidet dann ber die Rechte. So genieen Administratoren" das Privileg, sich jedes beliebige Recht verschaffen zu knnen (die meisten haben sie bereits), whrend Benutzer" nur ber eingeschrnkte Rechte verfgen. Einige weitere Gruppen gab es bislang nur unter XP Professional, etwa die Hauptbenutzer", die zwar auch nur ber eingeschrnkte Rechte verfgen, allerdings ber mehr als nur Benutzer". Ebenfalls neu sind die Gruppen Netzwerkkonfigurations-Operatoren", Replikations-Operator" und Sicherungs-Operatoren", die allesamt leer und fr den heimischen Einsatz kaum von Bedeutung sind (mehr dazu in [2]). Anders die Gruppe der Remotedesktop-Benutzer: Hier knnen Sie die Benutzer eintragen, die den Rechner aus der Ferne steuern drfen, ohne gleich Administratoren zu sein.

Remote Desktop
Es ist ungemein praktisch, von seinem Arbeitsplatz-PC mal eben auf den heimischen zugreifen zu knnen, um etwa eine vergessene Datei zu holen oder den digitalen Videorecorder zu programmieren. Diesen Fernzugriff bietet der Remote Desktop [5]. Auch Windows XP Home kennt diese Funktion, bietet sie aber nur in eine Richtung an: So kann ein Home-Rechner durchaus einen XP-Pro-Rechner fernsteuern, doch nicht umgekehrt. Das ist mit dem manipulierten XP anders, hier klappt der Zugriff in beide Richtungen. Zum Aktivieren setzen Sie in der Systemsteuerung unter System/Remote ein Hkchen vor Benutzern erlauben, eine Remotedesktop-Verbindung herzustellen". Alle Mitglieder der Gruppen Administratoren" und Remotedesktopbenutzer" knVon wegen geht nicht: Hier wird ein ehemaliges Windows XP Home in einer Domne willkommen geheien.

RAID
Eine weitere Neuerung findet sich ebenfalls in der Computerverwaltung. Hier bietet XP an, eine Festplatte in einen dyna-

Kontenverwaltung
Beim Einrichten oder Verndern von Konten und Gruppen sind

154

c't 2005, Heft 12

mischen Datentrger" umzuwandeln. Darauf kann man ein Volume" anlegen, welches das Pendant zu einer Partition ist. XP fasst auf Wunsch mehrere dynamische Datentrger zu einer einzigen logischen Platte zusammen (bergreifendes Volume") oder beschreibt mehrere Platten abwechselnd, was das Tempo erhht (Stripeset"). Ein RAID-System erhht die Ausfallsicherheit, wenn es zwei Platten als Spiegel voneinander nutzt - fllt eine Platte aus, bleibt die andere als Reserve. rgerlicherweise meint Microsoft, dass diese Funktion den ServerVarianten von Windows vorbehalten sein sollte. Doch ein Patch, der auch unter dem XP HomePro funktioniert, schaltet die Optionen frei [6].

mssen mit Schwierigkeiten bis hin zum Scheitern rechnen. Mit Original-CDs hingegen sind kaum Schwierigkeiten zu erwarten bei unseren Tests traten mit diesen keine Probleme auf. (axv) Literatur [I] Axel Vahldiek, Freischalter, GUI fr Dateizugriffsrechte unter XP Home,c't 10/05, S. 190 [2] Axel Vahldiek, Selbstschutz, Das Sicherheitskonzept von Windows 2000 und XP, c't 15/04, S. 110 [3] Axel Vahldiek, Es geht auch ohne, Arbeiten ohne Admin-Rechte unter Windows, c't 15/04, S. 118 [4] Axel Vahtdiek, Undercover, Programme unter Windows 2000 oder XP in anderem Sicherheitskontext statten, c't 18/04, S. 176 [5] Johannes Endres, Peter Siering, Ferne Fenster, PC-Fernsteuerung nicht nur mit Remote Desktop, c't 10/05, S. 96 [6] Karsten Violka, Dynamische Datenmassen, Groe Datenmengen verwalten mit Windows, c't 3/05, S.90 [7] Peter Siering, Axel Vahldiek, Zug um Zug, Vernetzung mit Windows im Griff, c't 24/04, S. 112 [8] Axel Vahldiek, Da gibt's doch was von Microsoft!, Das zweite Service Pack fr Windows XP, c't 16/04, S. 92 [9] Axel Vahldiek, Aus heiterem Himmel, Windows-Seltsamkeiten auf der Spur, c't 10/04, S. 100 [10] Hajo Schulz, Peter Siering, Installations-eXPerimente, Dateisystem- und Installationsvarianten unter Windows XP, c't 22/01, S. 132 [II] Andreas Beier, Spionageabwehr inklusive, Verzeichnis- und Dateiverschlsselung unter Windows XP Professional, c't 7/05, S. 142 [12] Andreas Beier, Nachgerstet, Datenverschlsselung unter Windows 2000 und XP Home, c't 7/05, S. 148 [13] Daniel Bachfeld, Sicher durch Verzicht, Administratorrechte unter Windows, c't 15/04, S. 106 [14] Jo Bager, Axel Vahldiek, Backup per Knopfdruck, Eigene Dateien unter Windows sichern, c't 8/03, S. 160 [15] Axel Vahldiek, Abwehrkrfte, Windows richtig installieren und sichern, c't 26/03, S. 96 [16] Peter Siering, Windows XP freizgig, Windows XP: OEM-Versionen ohne Hardware-Fesseln, S. 20/02, S. 212 Soft-Link 0512148

Treiber raus
Selbst wenn der i386-Ordner auf dem aktuellen Stand ist, fallen eventuell weitere Handgriffe an. Betroffen sind jedoch nur Besitzer von Recovery-CDs. Hintergrund: Mancher Hndler liefert Recovery-CDs, bei denen der i386-Ordner nicht dem Original entspricht. Stattdessen liegen hier manipulierte SetupDateien, die whrend der Installation versuchen, weitere Treiber oder Programme nachzuinstallieren, was dann womglich zu Fehlermeldungen oder Nachfragen nach nicht vorhandenen Datentrgern fhrt. Die sind zwar blicherweise nur ein kosmetisches Problem, da sich Treiber und Programme nachtrglich noch einspielen lassen, doch das stndige Wegklicken ist lstig zumal dabei das Risiko besteht, durch einen unachtsamen Klick das Setup vorzeitig zu beenden. Erfreulicherweise ist es nicht ntig, die modifizierten SetupDateien mhselig von Hand wieder zurechtzufummeln, ja es ist nicht einmal erforderlich, herauszubekommen, ob sie berhaupt modifiziert sind. Ersetzen Sie stattdessen einfach auf Verdacht die mglicherweise modifizierten Setup-Dateien durch die Originale, die Microsoft netterweise im Service Pack 2 mitliefert. Dazu mssen Sie es auspacken, was der Kommandozeilenbefehl D:\Homepro\xpsp2.exe /x erledigt. In dem aufpoppenden Fenster knnen Sie den Zielpfad eingeben, etwa "D:\Homepro\Ausgepackt", wo Sie nach dem Auspacken ein Unterverzeichnis i386\ic" vorfinden (nicht mit dem Unterordner i386\ip verwechseln). Am einfachsten ist es, die hier liegenden Dateien (nicht die Ordner) in die zuvor erstellte Kopie des XP-lnstallationsverzeichnisses i386" zu kopieren, etwa mit dem Kommandozeilenbefehl copy D:\H0mepr0\Ausgepackt\7 i386\ic\*.* D:\Homepro\i386 Die Nachfrage, ob Windows bestehende Dateien berschreiben soll, besttigen Sie. Das Verzeichnis \Ausgepackt wird danach nicht mehr gebraucht, Sie knnen es wieder lschen. Anschlieend sollten Sie vorsichtshalber noch aus der Arbeitskopie des i386-Ordners die Dateien Unattended.txt sowie Winnt.sif lschen, die beide fr eine hier unerwnschte unbeaufsichtigte Installation ntig sind. Bleibt nur noch, wie im Artikel beschrieben, die Setupreg.hiv zu bearbeiten, und schon steht dem Update auf ein aktuelles XP Professional samt SP2 nichts mehr im Weg.

Was nicht geht

Wie anfangs angedeutet, ist XP HomePro kein komplettes XP Pro: Es fehlen die Tools, die Microsoft bei XP Home von der CD entfernte und die kein Patch nachrsten kann. Daher suchen Sie etwa den Gruppenrichtlinieneditor Gpedit.msc vergeblich, Gleiches gilt fr den ntzlichen Webserver IIS oder den NetwareClient. Auf der Kommandozeile fehlen Tasklist und Taskkill weiterhin. Doch trotz dieser Mngel ist das aufgebohrte XP Home allemal mchtiger als die OriginalVersion. Vor allem die GUIs zum leichteren Arbeiten ohne AdminRechte scheinen unverzichtbar, und es bleibt unerklrlich, warum Microsoft ausgerechnet die bei der Home-Version ausgeblendet hat - als ob Privatanwender auf sicheres Arbeiten verzichten knnten. Doch auch der Remote Desktop, die Verschlsselung und die dynamischen Datentrger bieten Anreiz zum Umrsten. Bleibt abschlieend noch einmal der Hinweis: Versuchen Sie auf keinen Fall ein Update, bevor Sie nicht all Ihre Daten per Imager und Backup in Sicherheit gebracht haben, denn bei solchen von Microsoft offiziell nicht vorgesehenen Eingriffen ins System lsst sich nicht garantieren, dass diese in jedem Fall reibungslos funktionieren und beim Microsoft-Support drften Sie mit Ihren Problemen auf taube Ohren stoen. Vor allem Besitzer von Recovery-CDs

I Funktionsvergleich der Windows-XP-Varianten

c't 2005, Heft 12

155