Агент автоматического обновления может оказаться опасным, а избавиться от IE по-прежнему невозможно
В начале августа корпорация Microsoft выпустила третий служебный пакет для Windows 2000, включив в него все заплаты для брешей в системе безопасности и исправления других ошибок, накопившиеся за год с лишним после выхода в свет Service Pack 2. Скачать новое обновление вместе с прилагаемой к нему документацией можно по адресу: www.microsoft.com/windows2000/downloads/servicepacks/sp3/default.asp.
В состав Service Pack 3 включены первый и второй служебные пакеты, пакет обеспечения безопасности Windows 2000 Security Rollup Package Version 1, а также множество дополнительных заплат. Перечень довольно пестрый, поэтому перед развертыванием новинку нужно обязательно протестировать.
Кроме всего прочего, третий служебный пакет содержит и три новых компонента. Это - собственный агент автоматического обновления (если полностью довериться ему, то, к сожалению, и перезапускаться компьютер будет автоматически), инсталлятор Microsoft Installer 2.0 и весьма неэффективная утилита, задача которой - скрывать присутствие Internet Explorer, Outlook Express и Windows Media Player.
Как и в случае с другими служебными пакетами, здесь действует принцип: “Будь осмотрителен, покупатель!”. При установке Windows 2000 SP3 на Web-сервере Microsoft, сервере доменных имен DNS, контроллере домена и сервере СУБД IBM никаких сообщений об ошибке мы не получали. После этого новый служебный пакет профункционировал еще целую неделю, не вызвав каких-либо сбоев в работе приложений.
Однако такая идиллическая картина наблюдается далеко не у всех. Зайдите в группу новостей службы поддержки Microsoft, и вы увидите немало жалоб от тех, кто первым решился опробовать SP3. Они сообщают и о фатальных сбоях системы, и о “синих экранах” при ее запуске, и о многих других трудностях, с которыми им пришлось столкнуться. Встречаются здесь и сообщения о проблемах совместимости на машинах с драйверами мыши фирмы Logitech, сетевыми экранами Norton Personal Firewall корпорации Symantec, IDE-контроллерами Ultra 100 фирмы Promise Technology. А ведь еще свежа в памяти история с Windows NT Service Pack 6, который нарушил работу серверов Lotus Notes корпорации IBM.
При любом обновлении крупной операционной системы ничто не может заменить тестирования на месте. Перед тем как приступать к нему, необходимо выполнить две операции. Во-первых, нужно обновить дискету восстановления имеющейся системы (это же советует сделать и инсталлятор SP3), которая даже после установки служебного пакета позволит вернуть систему в исходное положение. Во-вторых, стоит сохранить системные файлы, чтобы всегда иметь возможность деинсталлировать служебный пакет.
Нельзя не отметить и то, что сама по себе установка SP3 вовсе не означает, что в Windows 2000 будут задействованы все имеющиеся на сегодняшний день заплаты. Узел обновления Windows, скажем, уже предлагает обновление безопасности для Windows Media Player, помеченное как “критическое” (Q320920), которое не вошло в новый служебный пакет.
Кроме того, на этом сайте рекомендуется переходить на Internet Explorer 5.5 SP2, тогда как Windows NT SP3 автоматически заменяет стандартный для Windows 2000 браузер Internet Explorer 5.01 на Internet Explorer 5.01 SP2. В результате сразу же возникает необходимость в установке свежих заплат безопасности.
Утрата данных
Больше всего внимания при развертывании SP3 персоналу ИТ придется уделять агенту автоматического обновления, который включен в состав этого пакета (см. рис. 1). По умолчанию он должен автоматически загружать все обновления, но не (подчеркиваем: НЕ) инсталлировать их. Право устанавливать заплаты, равно как и изменять параметры автоматического обновления (это делается с помощью нового значка панели управления), принадлежит только группе администраторов.
Рис. 1. Скрыть приложения Microsoft, как того потребовал антимонопольный
суд, в SP3 можно, вот только делается это скорее напоказ
Хотим серьезно предостеречь тех, кто решит полностью доверить инсталлятору процесс автоматического обновления (по умолчанию такая операция выполняется ежедневно в 3 часа утра): эта опция приведет к тому, что после каждого обновления, требующего перезапуска системы, ваша машина будет перезагружаться автоматически.
В ходе тестирования мы проверяли возможность автоматической установки обновлений. При этом инсталлятор дожидался назначенного времени, а затем загружал из сети все ключевые обновления, предназначенные для данной системы. После этого включался пятиминутный отсчет времени, в течение которого мы могли отменить последующую операцию, и если никаких указаний не поступало, система перезапускалась.
И вот результат: без нашего вмешательства утрачивались все изменения, которые были внесены в оставшиеся открытыми документы. Для большинства организаций это совершенно неприемлемо, так как администратор просто не в состоянии предсказать время перезапуска системы и тем более - предупредить всех пользователей о нем. Момент обновления будет зависеть от того, когда Microsoft выложит очередную заплату на своем узле обновления.
Нам в eWeek Labs очень нравятся агенты обновления с централизованным управлением, и появление такой утилиты в SP3 мы считаем шагом в верном направлении. Однако при этом администраторам настоятельно рекомендуется внимательно ознакомиться с новым сервисом под названием Software Update Services, который Microsoft представила в июне. В его рамках можно создавать собственные центры обновления Windows и устанавливать заплаты по своему плану. Сервис бесплатен; необходимое ПО можно найти по адресу: www.microsoft.com/Windows2000/downloads/recommended/susserver/default.asp.
Если же администратор решит полностью отказаться от автоматического обновления, ему нужно будет отключить две службы: Automatic Updates (Автоматическое обновление) и Background Intelligent Transfer Service (Служба интеллектуальной пересылки данных в фоновом режиме).
IE за ширмой
В Service Pack 3 включена новая опция, позволяющая “спрятать” Internet Explorer, Outlook Express и Windows Media Player. Эта функция, введенная по решению антимонопольного суда, инсталлируется только на Windows 2000 Professional и поразительно аскетична (см. рис. 2).
Рис. 2. Вместе с Windows 2000 SP3 по умолчанию
инсталлируется и агент автоматического обновления
Администраторам не стоит надеяться, что им действительно удастся отключить или удалить все эти приложения. Когда мы открыли новую панель настройки доступа к программам Set Program Access и убрали галочку с кнопки “Show this program” (“Показывать это приложение”), утилита просто убрала пиктограммы Internet Explorer, Outlook Express и Windows Media Player из пускового меню и с панели задач. Сами же программы при этом остались полностью инсталлированными и сохранили все свои функции. К тому же - что еще печальнее - осталось неизменным их закрепление за типами файлов.
Стоило нам щелкнуть на гиперссылке НТТР, указать ее в команде “Выполнить” из меню “Пуск” или открыть файл HTML из “Проводника”, как на экране тут же появлялся Internet Explorer. А когда мы открывали из “Проводника” файлы MP3, запускался, как ни в чем не бывало, проигрыватель Windows Media Player.
Такое решение едва ли может устроить персонал ИТ. Специалистам нужна возможность полностью удалять любые из этих приложений, печально известных своими брешами в системе безопасности.
С техническим директором eWeek Labs на Западном побережье Тимоти Диком можно связаться по адресу: timothy_dyck@ziffdavis.com.