Новости
ОГЛЯД
Однак SP2 таїть чималий потенціал для порушення роботи додатків
Через два з половиною роки після появи Windows XP корпорація Microsoft випустила для неї Service Pack 2, націлений на підвищення рівня безпеки ОС. Оновлення усуває давні вразливі місця в сервісах Windows і модифікує такі ключові програми, як Internet Explorer і системний брандмауер, для того, щоб користувачам і адміністраторам стало легше контролювати те, що відбувається в їх комп'ютерах з Windows XP.
Тестовий центр eWeek Labs досить докладно протестував SP2, звертаючи особливу увагу на виявлення і дозвіл потенційних проблем сумісності додатків, а потім встановив пакет на робочих системах. У підсумку ми переконалися, що SP2 надає досить вагомі переваги, і його можна рекомендувати для поновлення всіх систем Windows XP.
Вирішені, звичайно, далеко не всі питання безпеки Windows. Наприклад, бажано, щоб Microsoft покращила управління привілеями користувачів ОС - при запуску певних програм з облікового запису користувача адміністратора, а звичайного користувача і раніше виникають складності. Або, хоча в Windows Update версії 5, поява якої збіглося за часом з виходом SP2, міститься ряд вдалих удосконалень, не завадило б об'єднати випуски оновлень ОС і сервісних пакетів в один процес на зразок Advanced Package Tool дистрибутива Debian Linux.
Провівши бета-тестування SP2, ми можемо стверджувати, що в ньому не так вже й багато проблем. Для більшості продуктів, з якими ми перевіряли SP2, є необхідні оновлення. Цьому, схоже, багато в чому допомогла тривала і дуже відкрита бета-програма SP2.
Більш безпечний Internet Explorer в Windows XP SP2 дозволяє набагато краще
керувати інсталяцією, оновленням і відключенням елементів ActiveX
Звичайно, майже в 300-мегабайтном обсязі пакета оновлень таїться чималий потенціал для створення перешкод чинним програмам, який особливо торкнеться мережеві додатки і ПО на базі Web, розроблені всередині компаній-користувачів. Тому дуже важливо, щоб перед повним розгортанням SP2 організації протестували його функції в своїх конкретних умовах.
SP2 наочно висвітлює додатки, які писалися без належної уваги до питань безпеки. У пропонованому пакеті проводиться лінія на більш суворе дотримання моделям безпеки Windows XP, ніж в Gold release або SP1, і не дивно, що установка поновлення створює найбільші перешкоди продуктам, при створенні яких безпека не розглядалася в числі головних пріоритетів.
Організації можуть завантажити пакет для інсталяції SP2 на велике число ПК з Web-сайту Microsoft, а для індивідуальних користувачів пакет встановлюється через механізм автоматичних оновлень Windows. Microsoft забезпечила SP2 чудовою документацією, а на сторінці www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx2nd можна знайти вичерпний огляд містяться в ньому змін.
А що з Windows 2000?
Хоча Microsoft вважає вдосконалені інструменти забезпечення безпеки, включені в Service Pack 2 своїй ОС Windows XP, досить вагомими, щоб не форсувати роботу над Longhorn, ці нововведення не дійдуть до користувачів старішої, але ще широко застосовується ОС Windows 2000.
Не слід все ж думати, що компанії, які використовують Windows 2000, тепер виявляться в смертельній небезпеці. Деякі з ключових нововведень SP2, скажімо, солідний брандмауер і інтерфейс Security Center, можна придбати з продуктами інших виробників, наприклад з протестованих нами Client Security 2.0 корпорації Symantec (див. Www.eweek.com/labslinks.) Проте індивідуальні користувачі Windows 2000 , ймовірно, виявляться осторонь від більшості удосконалень Internet Explorer, таких, як блокування спливаючих вікон і управління надбудовами. Microsoft ясно заявила, що нові функції IE будуть доступні тільки в складі оновлень XP, і якщо операційна система Windows 2000 зацікавлені в інноваціях у сфері браузерів, їм слід звернути увагу на Mozilla Firefox і подібні альтернативи.
Джейсон Брукс
Особливих змін в роботі після установки пакета користувачі XP не помітять, і перепідготовка, якщо не брати до уваги недовгий період ознайомлення, не буде потрібно.
Internet Explorer
Будучи всесвітньо відомим вікном в Інтернет і в той же час вихідної платформою для багатьох корпоративних додатків, браузер Microsoft Internet Explorer - життєво необхідний інструмент для більшості компаній. Але одночасно це одне з найбільш вразливих місць Windows в плані безпеки.
SP2 привносить в Windows-браузер цілий ряд змін (вони будуть доступні лише в рамках Windows XP), які роблять IE безпечніше за рахунок додаткового контролю та інформування користувача про дії ПО.
Наприклад, в IE після установки SP2 додається модуль управління надбудовами, що показує список всіх завантажених надбудов і елементів ActiveX з інформацією про наявність у них цифрових підписів і кнопках включення, відключення або поновлення цих елементів. А при аварійному завершенні оглядача Windows допоможе адміністраторам знайти причину збою, надаючи відомості про завантажені в цей момент надбудови.
Оновлений IE також попереджає користувачів у випадках, якщо активні елементи, що відкриваються сторінок намагаються завантажити або інсталювати програми. За допомогою нової інформаційної панелі, що з'явилася поверх Web-сторінки, IE відображає сповіщення про спроби завантаження та інсталяції ActiveX і заблокованих спливаючих вікнах.
Рішення Microsoft вбудувати в оглядач блокування непрошених розкриваються вікон функціонально зближує IE з такими альтернативними браузерами, як Mozilla і Opera, і, сподіваємося, послужить зменшення використання цього нав'язливого прийому розробниками сайтів.
Обсяг SP2 змушує подумати про обережність при виборі способів розгортання
З огляду на обсяги дистрибутива Service Pack 2 для Windows XP (близько 300 Мб), адміністраторам треба бути обачними, коли вони дозволяють встановлювати пакет на окремі ПК через сервіс Microsoft Automatic Updates, - це може перевантажити канали Інтернету і створити пікову ситуацію для персоналу служб підтримки.
Якщо організація сконфігурованої Automatic Updates на доставку оновлень в свій локальний репозиторій, їй слід в потрібний час видати санкцію, що дозволяє завантаження SP2 на клієнтські ПК. Підрозділам ж, що використовують Automatic Updates для отримання оновлень безпосередньо від Microsoft, можна порадити завантажити і застосувати шаблон групової політики, що надається Microsoft для тимчасового блокування завантаження SP2 (він доступний на сторінці www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2aumng. mspx).
Щоб контролювати інсталяцію і не забивати свій канал Інтернету, ми вирішили поширювати пакет через GPO (об'єкти групової політики) Active Directory.
Ми завантажили одну копію SP2 в варіанті для інсталяції через мережу і використовували при розпакуванні можливість розмістити файли в загальному каталозі без запуску процесу установки. Потім ми сконфигурировали групову політику, щоб Windows Installer встановив SP2 при черговій перезавантаження, і призначили цю політику тестирующей організаційної одиниці.
Інсталяція пакета зайняла близько 15 хв на систему, хоча цей час може варіюватися в залежності від параметрів мережі, навантаження серверів і числа одночасно оновлюваних клієнтів.
У пакеті є .adm-файли, призначені для поновлення адміністративних шаблонів групової політики відповідно до нових установками SP2, включаючи параметри Windows Firewall. Після установки SP2 ми використовували вбудований редактор групової політики MMC-консолі (Microsoft Management Console) для підключення до GPO нашої групи тестування, що призвело до автоматичного оновлення всіх параметрів.
Однак SP2 ускладнює управління GPO з систем з ОС Windows 2000, 2003 і XP-SP1, на яких діє старіша версія редактора групової політики, що має проблеми з відображенням розлогих роз'яснень нових адміністративних функцій. Для вирішення цієї проблеми Microsoft випустила поточний виправлення Hot Fix KB842933.
Адміністратори, раніше вже розгорнули в корпоративному масштабі настільні брандмауери, можуть використовувати оновлений GPO для автоматичного відключення Windows Firewall. Ті ж, хто вважає за краще Windows Firewall, можуть формувати політику вхідного трафіку, що звільняє певні порти або додатки від блокування брандмауером для всіх систем організаційної одиниці. Написання текстових політик для звільняють винятків кілька важкувато, але зате дозволяє адміністраторам застосовувати виключення і до цілих мереж, і до окремих хостів.
З технічним аналітиком Ендрю Гарсіа можна зв'язатися за адресою: [email protected].
Проте панель повідомлень і блокування спливаючих вікон створили проблему при нашому відвідуванні сайту для завантаження демоверсії комп'ютерних ігор. Сайт, мабуть, відкривав спливаюче вікно, яке намагалося інсталювати активний елемент, щоб потім тут же закритися і відкрити наступне спливаюче вікно.
У колишніх версіях Windows проблеми тут би не виникли, так як вікно із запитом дозволу на інсталяцію залишалося б відкритим до взаємодії з користувачем. Але при встановленому SP2 воно моментально зникало з екрану, і ми не встигали на нього відреагувати. Щоб використовувати Web-додаток, нам довелося тимчасово занести ігровий сайт в список довіряємо вузлів оглядача.
IE став блокувати підвищення рівня привілеїв в разі, коли сторінка, завантажена з будь-якої зони безпеки - скажімо, позначеної словом "Інтернет", - посилається на сторінку, що належить більш доверяемой зоні, і оглядач тепер дозволяє повністю заборонити інсталяцію коду, підписаного певними видавцями . Це позбавить користувачів від реагування на повторювані пропозиції по установці програм, які ними вже відкидалися.
Windows Firewall
Однією з найбільш капітально перероблених в SP2 функцій Windows є системний брандмауер Windows Firewall, раніше іменувався Internet Connection Firewall, або ICF.
Хоча багато компаній напевно містять свої керовані Windows-ПК за огорожею корпоративного брандмауера, що ростуть загрози проникнення черв'яків обумовлюють важливість захисту призначених для користувача систем за допомогою індивідуальних брандмауерів. Вбудований брандмауер особливо потрібен мобільному персоналу, вимушеного підключатися до Інтернету не з корпоративної мережі, а ззовні, і Windows Firewall став набагато сильніше ICF.
Почнемо з того, що в SP2-системах брандмауер Windows Firewall за замовчуванням знаходиться в активному стані, тоді як ICF, навпаки, за замовчуванням був відключений. Всі нові мережеві підключення в SP2-системах також за замовчуванням захищені фаєрволом, причому Windows Firewall анулює пролом в безпеці ICF, пов'язану з незахищеністю системи в короткий період між включенням ПК і повним завантаженням ОС.
При тестуванні ми могли використовувати функції Windows Firewall для статичного відкриття портів, додавання винятків, пов'язаних з конкретними додатками, і регулювання діапазону дії винятків на базі підмережі.
У діалозі конфігурації брандмауера є віконце для мітки "не дозволяти виключення", що дуже корисно при роботі в потенційно небезпечній середовищі, скажімо в номері готелю або при бездротовому підключенні з публічної точки доступу.
РЕЗЮМЕ ДЛЯ КЕРІВНИКІВ
Windows XP Service Pack 2
+ Модернізований брандмауер; контроль надбудов і спливаючих вікон IE; усунуті вразливі місця в Windows-сервісах.
- Можливість порушення роботи деяких додатків.
РЕЗЮМЕ
Друге велике оновлення Windows XP націлене на вдосконалення настільної ОС Microsoft в дусі ініціативи Trustworthy Computing. Саме тому SP2 включає довгий перелік поліпшень механізму безпеки. З огляду на переваги брандмауера, браузера і змінених системних сервісів оновленої XP, ми наполегливо рекомендуємо інсталювати цей безкоштовний і досить об'ємний (майже 300 Мб) пакет. Щоб уникнути потенційних проблем сумісності додатків організаціям, проте, необхідно його ретельно протестувати в своєму середовищі. Додаткова інформація - на сайті www.microsoft.com.
ОЦІНКА ОСНОВНИХ ХАРАКТЕРИСТИК
ЗРУЧНІСТЬ
ВІДМІННО
МОЖЛИВОСТІ
ДОБРЕ
ПРОДУКТИВНІСТЬ
ДОБРЕ
Сумісність
ДОБРЕ
КЕРОВАНІСТЬ
відмінно
МАСШТАБОВАНІСТЬ
ДОБРЕ
БЕЗПЕКА
ВІДМІННО
Ми могли задавати ці установки, використовуючи інструмент "Групова політика" або з командного рядка через утиліту під назвою Netsh.
Вхідний в систему без привілеїв адміністратора позбавлений можливості інтерактивного управління Windows Firewall, при якому брандмауер запитує дозволу на доступ додатки до заблокованого порту. При повторних зверненнях мережевої програми до такого порту користувач побачить вікно з рекомендацією звернутися до адміністратора для його відкриття. Однак в повідомленні немає номера порту, і воно тому не надасть особливої допомоги при складанні заявки до групи ІТ-підтримки.
Зауважимо, що вихідний трафік Windows Firewall не блокує, і в цьому плані деякі компанії будуть зацікавлені в більш функціональному брандмауері.
мережева захист
Microsoft удосконалила безліч деталей у функціонуванні Windows XP, зокрема за замовчуванням дезактивувати такі не надто важливі і часто використовувані у справі сервіси, як Windows Alerter і Messenger. Включений Windows Messenger (не плутати з IM-клієнтом MSN Messenger) є особливо улюбленою мішенню для розсилок спаму.
У SP2 посилені правила, що регулюють застосування Windows-моделі DCOM (Distributed Component Object Model), в яку вбудовані нові засоби управління доступом, які гарантують, що COM-додатки будуть забезпечувати мінімальний рівень безпеки.
З'явилися обмеження і на функціонування підсистеми Windows RPC (Remote Procedure Call), в якій, наприклад, виключена можливість анонімного віддаленого доступу до RPC-інтерфейсів. Якщо існуючі програми все ж використовують анонімний доступ, їх або доведеться переробити відповідно до нових норм, або адміністраторам слід внести корективи в реєстр Windows, щоб повернути установки SP1.
SP2 також містить зміни в редиректоров WebDAV (Web Distributed Authoring and Versioning) - компоненті, що забезпечує одночасну роботу різних користувачів над одним документом або сайтом по протоколу WebDAV, який відмовить в доступі, якщо конфігурація сервера WebDAV не передбачає безпечної аутентифікації.
захист пам'яті
SP2 підтримує функцію DEP (запобігання запуску коду, оголошеного як дані), що дозволяє, наприклад, позначати області пам'яті, виділені для даних. Це є певною перепоною для атак, що використовують переповнення буфера.
Функція DEP в SP2 вимагає апаратної підтримки та працює тільки в процесорі фірми Advanced Micro Devices із захистом неісполняемих сторінок або в процесорі Intel з бітової функцією Execute Disable. Пакет SP2 забезпечує програмну підтримку DEP в коді ядра Windows XP. Адміністратори можуть відключати DEP на рівні Windows-систем або додатків.
Wi-Fi і Bluetooth
Microsoft переробила діалоги вікна Wireless Network Connection, щоб надавати додаткову інформацію про існуючі точках доступу. З'явився новий майстер Wireless Setup Wizard, що дозволяє адміністраторам задавати параметри безпеки для великого числа систем, що працюють в бездротової мережі.
SP2 забезпечує природну підтримку Bluetooth за допомогою драйверів і засобів конфігурації, які тепер стали частиною Windows. Встановивши SP2 на тестовий ноутбук, ми Деінсталювати колишні фірмові драйвери Bluetooth постачальників апаратури і без перешкод переключилися на використання власного ПО Microsoft для Bluetooth.
Windows Security Center
У Windows XP з SP2 з'явився інтерфейс Центру забезпечення безпеки (Security Center), що надає контроль над настройками автоматичних оновлень, брандмауера і використовуваного антивірусного ПО. Ми перевіряли цю функцію з рядом антивірусних програм, і Security Center добре справлявся з виявленням антивірусної програми, контролем актуальності антивірусних баз і активного стану антивірусного монітора.
У ряді випадків для використання ПЗ в оновленій ОС нам треба було завантажити його виправлення. Наприклад, після інсталяції SP2 на ПК з встановленим AntiVirus Corporate Edition 9.0 корпорації Symantec Центр безпеки повідомив про присутність антивірусного ПО, але не зміг визначити його статус. Після ж інсталяції оновлення з Web-сайту Symantec ця функція запрацювала нормально.
Зі старшим аналітиком Джейсоном Бруксом можна зв'язатися за адресою: [email protected].
Версія для друку
А що з Windows 2000?