ОБЗОРЫ

Однако SP2 таит немалый потенциал для нарушения работы приложений

Спустя два с половиной года после появления Windows XP корпорация Microsoft выпустила для нее Service Pack 2, нацеленный на повышение уровня безопасности ОС. Обновление устраняет давнишние уязвимые места в сервисах Windows и модифицирует такие ключевые приложения, как Internet Explorer и системный брандмауэр, для того, чтобы пользователям и администраторам стало легче контролировать происходящее в их компьютерах с Windows XP.

Тестовый центр eWeek Labs довольно обстоятельно протестировал SP2, обращая особое внимание на выявление и разрешение потенциальных проблем совместимости приложений, а затем установил пакет на рабочих системах. В итоге мы убедились, что SP2 предоставляет достаточно весомые преимущества, и его можно рекомендовать для обновления всех систем Windows XP.

Решены, конечно, далеко не все вопросы безопасности Windows. Например, желательно, чтобы Microsoft улучшила управление привилегиями пользователей ОС - при запуске определенных приложений из учетной записи не администратора, а обычного пользователя по-прежнему возникают сложности. Или, хотя в Windows Update версии 5, появление которой совпало по времени с выходом SP2, содержится ряд удачных усовершенствований, не помешало бы объединить выпуски обновлений ОС и сервисных пакетов в один процесс наподобие Advanced Package Tool дистрибутива Debian Linux.

Проведя бета-тестирование SP2, мы можем утверждать, что в нем не так уж много проблем. Для большинства продуктов, с которыми мы проверяли SP2, имеются необходимые обновления. Этому, похоже, во многом помогла продолжительная и очень открытая бета-программа SP2.    

Более безопасный Internet Explorer в Windows XP SP2 позволяет гораздо лучше

управлять инсталляцией, обновлением и отключением элементов ActiveX

Конечно, почти в 300-мегабайтном объеме пакета обновлений таится немалый потенциал для создания помех действующим приложениям, который особенно затронет сетевые приложения и ПО на базе Web, разработанные внутри компаний-пользователей. Поэтому очень важно, чтобы перед полным развертыванием SP2 организации протестировали его функции в своих конкретных условиях.

SP2 наглядно высвечивает приложения, которые писались без должного внимания к вопросам безопасности. В предлагаемом пакете проводится линия на более строгое следование моделям безопасности Windows XP, чем в Gold release или SP1, и неудивительно, что установка обновления создает наибольшие помехи продуктам, при создании которых безопасность не рассматривалась в числе главных приоритетов.

Организации могут загрузить пакет для инсталляции SP2 на большое число ПК с Web-сайта Microsoft, а для индивидуальных пользователей пакет устанавливается через механизм автоматических обновлений Windows. Microsoft снабдила SP2 превосходной документацией, а на странице www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx2nd можно найти исчерпывающий обзор содержащихся в нем изменений.

А что с Windows 2000?

Хотя Microsoft считает усовершенствованные инструменты обеспечения безопасности, включенные в Service Pack 2 своей ОС Windows XP, достаточно весомыми, чтобы не форсировать работу над Longhorn, эти новшества не дойдут до пользователей более старой, но еще широко применяемой ОС Windows 2000.

Не следует все же думать, что компании, использующие Windows 2000, теперь окажутся в смертельной опасности. Некоторые из ключевых новшеств SP2, скажем, солидный брандмауэр и интерфейс Security Center, можно приобрести с продуктами других производителей, например с протестированным нами Client Security 2.0 корпорации Symantec (см. www.eweek.com/labslinks.) Тем не менее индивидуальные пользователи Windows 2000, вероятно, окажутся в стороне от большинства усовершенствований Internet Explorer, таких, как блокировка всплывающих окон и управление надстройками. Microsoft ясно заявила, что новые функции IE будут доступны только в составе обновлений XP, и если пользователи Windows 2000 заинтересованы в инновациях в сфере браузеров, им следует обратить внимание на Mozilla Firefox и подобные альтернативы.

 

Джейсон Брукс

Особенных перемен в работе после установки пакета пользователи XP не заметят, и переподготовка, если не считать недолгий период ознакомления, не потребуется.

Internet Explorer

Будучи всемирно известным окном в Интернет и вместе с тем исходной платформой для многих корпоративных приложений, браузер Microsoft Internet Explorer - жизненно необходимый инструмент для большинства компаний. Но одновременно это одно из наиболее уязвимых мест Windows в плане безопасности.

SP2 привносит в Windows-браузер целый ряд изменений (они будут доступны лишь в рамках Windows XP), которые делают IE безопаснее за счет дополнительного контроля и информирования пользователя о действиях ПО.

Например, в IE после установки SP2 добавляется модуль управления надстройками, показывающий список всех загруженных надстроек и элементов ActiveX с информацией о наличии у них цифровых подписей и кнопках включения, отключения или обновления этих элементов. А при аварийном завершении обозревателя Windows поможет администраторам найти причину сбоя, предоставляя сведения о загруженных в этот момент надстройках.

Обновленный IE также предупреждает пользователей в случаях, если активные элементы открываемых страниц пытаются загрузить или инсталлировать программы. С помощью новой информационной панели, появившейся поверх Web-страницы, IE отображает извещения о попытках загрузки и инсталляции ActiveX и заблокированных всплывающих окнах.

Решение Microsoft встроить в обозреватель блокировку непрошенно раскрывающихся окон функционально сближает IE с такими альтернативными браузерами, как Mozilla и Opera, и, надеемся, послужит уменьшению использования этого навязчивого приема разработчиками сайтов.

Объем SP2 заставляет подумать об осторожности при выборе способов развертывания

Учитывая объемы дистрибутива Service Pack 2 для Windows XP (около 300 Мб), администраторам надо быть осмотрительными, когда они разрешают устанавливать пакет на отдельные ПК через сервис Microsoft Automatic Updates, - это может перегрузить каналы Интернета и создать пиковую ситуацию для персонала служб поддержки.

Если организация сконфигурировала Automatic Updates на доставку обновлений в свой локальный репозиторий, ей следует в нужное время издать санкцию, разрешающую загрузку SP2 на клиентские ПК. Подразделениям же, использующим Automatic Updates для получения обновлений непосредственно от Microsoft, можно посоветовать загрузить и применить шаблон групповой политики, предоставляемый Microsoft для временной блокировки загрузки SP2 (он доступен на странице www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2aumng.mspx).

Чтобы контролировать инсталляцию и не забивать свой канал Интернета, мы решили распространять пакет через GPO (объекты групповой политики) Active Directory.

Мы загрузили одну копию SP2 в варианте для инсталляции по сети и использовали при распаковке возможность разместить файлы в общем каталоге без запуска процесса установки. Затем мы сконфигурировали групповую политику, чтобы Windows Installer установил SP2 при очередной перезагрузке, и назначили эту политику тестирующей организационной единице.

Инсталляция пакета заняла порядка 15 мин на систему, хотя это время может варьироваться в зависимости от параметров сети, нагрузки серверов и числа одновременно обновляемых клиентов.

В пакете имеются .adm-файлы, предназначенные для обновления административных шаблонов групповой политики в соответствии с новыми установками SP2, включая параметры Windows Firewall. После установки SP2 мы использовали встроенный редактор групповой политики MMC-консоли (Microsoft Management Console) для подключения к GPO нашей группы тестирования, что привело к автоматическому обновлению всех параметров.

Однако SP2 затрудняет управление GPO из систем с ОС Windows 2000, 2003 и XP-SP1, на которых действует более старая версия редактора групповой политики, имеющая проблемы с отображением пространных разъяснений новых административных функций. Для решения этой проблемы Microsoft выпустила текущее исправление Hot Fix KB842933.

Администраторы, ранее уже развернувшие в корпоративном масштабе настольные брандмауэры, могут использовать обновленный GPO для автоматического отключения Windows Firewall. Те же, кто предпочитает Windows Firewall, могут формировать политику входящего трафика, освобождающую определенные порты или приложения от блокировки брандмауэром для всех систем организационной единицы. Написание текстовых политик для освобождающих исключений несколько сложновато, но зато позволяет администраторам применять исключения и к целым сетям, и к отдельным хостам.

С техническим аналитиком Эндрю Гарсиа можно связаться по адресу: andrew_garcia@ziffdavis.com.

Тем не менее панель извещений и блокировка всплывающих окон создали проблему при нашем посещении сайта для загрузки демоверсий компьютерных игр. Сайт, по-видимому, открывал всплывающее окно, пытавшееся инсталлировать активный элемент, чтобы затем тут же закрыться и открыть следующее всплывающее окно.

В прежних версиях Windows проблемы здесь бы не возникли, так как окно с запросом разрешения на инсталляцию оставалось бы открытым до ответа пользователя. Но при установленном SP2 оно моментально исчезало с экрана, и мы не успевали на него отреагировать. Чтобы использовать Web-приложение, нам пришлось временно занести игровой сайт в список доверяемых узлов обозревателя.

IE стал блокировать повышение уровня привилегий в случае, когда страница, загруженная из какой-либо зоны безопасности - скажем, обозначенной словом "Интернет", - ссылается на страницу, принадлежащую более доверяемой зоне, и обозреватель теперь позволяет полностью запретить инсталляцию кода, подписанного определенными издателями. Это избавит пользователей от реагирования на повторяющиеся предложения по установке программ, которые ими уже отвергались.

Windows Firewall

Одной из наиболее капитально переработанных в SP2 функций Windows является системный брандмауэр Windows Firewall, ранее именовавшийся Internet Connection Firewall, или ICF.

Хотя многие компании наверняка содержат свои управляемые Windows-ПК за оградой корпоративного брандмауэра, растущие угрозы проникновения червей обусловливают важность защиты пользовательских систем с помощью индивидуальных брандмауэров. Встроенный брандмауэр особо нужен мобильному персоналу, вынужденному подключаться к Интернету не из корпоративной сети, а извне, и Windows Firewall стал намного сильнее ICF.

Начнем с того, что в SP2-системах брандмауэр Windows Firewall по умолчанию находится в активном состоянии, тогда как ICF, наоборот, по умолчанию был отключен. Все новые сетевые подключения в SP2-системах также по умолчанию защищены брандмауэром, причем Windows Firewall аннулирует брешь в безопасности ICF, связанную с незащищенностью системы в короткий период между включением ПК и полной загрузкой ОС.

При тестировании мы могли использовать функции Windows Firewall для статического открытия портов, добавления исключений, связанных с конкретными приложениями, и регулировки диапазона действия исключений на базе подсети.

В диалоге конфигурирования брандмауэра имеется окошко для метки "не разрешать исключения", что очень полезно при работе в потенциально небезопасной среде, скажем в номере гостиницы или при беспроводном подключении из публичной точки доступа.    

РЕЗЮМЕ ДЛЯ РУКОВОДИТЕЛЕЙ

Windows XP Service Pack 2  

+ Модернизированный брандмауэр; контроль надстроек и всплывающих окон IE; устраненные уязвимые места в Windows-сервисах.

- Возможность нарушения работы некоторых приложений.

 

РЕЗЮМЕ

Второе крупное обновление Windows XP нацелено на усовершенствование настольной ОС Microsoft в духе инициативы Trustworthy Computing. Именно поэтому SP2 включает длинный перечень улучшений механизма безопасности. Учитывая достоинства брандмауэра, браузера и измененных системных сервисов обновленной XP, мы настойчиво рекомендуем инсталлировать этот бесплатный и весьма объемистый (почти 300 Мб) пакет. Во избежание потенциальных проблем совместимости приложений организациям, однако, необходимо его тщательно протестировать в своей среде. Дополнительная информация - на сайте www.microsoft.com.

ОЦЕНКА ОСНОВНЫХ ХАРАКТЕРИСТИК  

УДОБСТВО  

ОТЛИЧНО  

ВОЗМОЖНОСТИ  

ХОРОШО  

ПРОИЗВОДИТЕЛЬНОСТЬ  

ХОРОШО  

СОВМЕСТИМОСТЬ  

ХОРОШО  

УПРАВЛЯЕМОСТЬ  

отлично  

МАСШТАБИРУЕМОСТЬ  

ХОРОШО  

БЕЗОПАСНОСТЬ  

ОТЛИЧНО  

Мы могли задавать эти установки, используя инструмент "Групповая политика" или из командной строки через утилиту под названием Netsh.

Входящий в систему без привилегий администратора лишен возможности интерактивного управления Windows Firewall, при котором брандмауэр запрашивает разрешения на доступ приложения к заблокированному порту. При повторных обращениях сетевой программы к такому порту пользователь увидит окно с рекомендацией обратиться к администратору для его открытия. Однако в сообщении нет номера порта, и оно поэтому не окажет особой помощи при составлении заявки в группу ИТ-поддержки.

Заметим, что исходящий трафик Windows Firewall не блокирует, и в этом плане некоторые компании будут заинтересованы в более функциональном брандмауэре.

Сетевая защита

Microsoft усовершенствовала множество деталей в функционировании Windows XP, в частности по умолчанию дезактивировала такие не слишком важные и часто используемые не по делу сервисы, как Windows Alerter и Messenger. Включенный Windows Messenger (не путать с IM-клиентом MSN Messenger) является особенно излюбленной мишенью для рассылок спама.

В SP2 ужесточены правила, регулирующие применение Windows-модели DCOM (Distributed Component Object Model), в которую встроены новые средства управления доступом, гарантирующие, что COM-приложения будут обеспечивать минимальный уровень безопасности.

Появились ограничения и на функционирование подсистемы Windows RPC (Remote Procedure Call), в которой, например, исключена возможность анонимного удаленного доступа к RPC-интерфейсам. Если существующие приложения все же используют анонимный доступ, их либо придется переделать в соответствии с новыми нормами, либо администраторам следует внести коррективы в реестр Windows, чтобы вернуть установки SP1.

SP2 также содержит изменения в редиректоре WebDAV (Web Distributed Authoring and Versioning) - компоненте, обеспечивающем одновременную работу разных пользователей над одним документом или сайтом по протоколу WebDAV, который откажет в доступе, если конфигурация сервера WebDAV не предусматривает безопасной аутентификации.

Защита памяти

SP2 поддерживает функцию DEP (предотвращение запуска кода, объявленного как данные), позволяющую, например, помечать области памяти, выделенные для данных. Это является определенной преградой для атак, использующих переполнение буфера.

Функция DEP в SP2 требует аппаратной поддержки и работает только в процессоре фирмы Advanced Micro Devices с защитой неисполняемых страниц или в процессоре Intel с битовой функцией Execute Disable. Пакет SP2 обеспечивает программную поддержку DEP в коде ядра Windows XP. Администраторы могут отключать DEP на уровне Windows-систем или приложений.

Wi-Fi и Bluetooth

Microsoft переработала диалоги окна Wireless Network Connection, чтобы предоставлять дополнительную информацию о существующих точках доступа. Появился новый мастер Wireless Setup Wizard, позволяющий администраторам задавать параметры безопасности для большого числа систем, работающих в беспроводной сети.

SP2 обеспечивает естественную поддержку Bluetooth посредством драйверов и средств конфигурирования, которые теперь стали частью Windows. Установив SP2 на тестовый ноутбук, мы деинсталлировали прежние фирменные драйверы Bluetooth поставщиков аппаратуры и без помех переключились на использование собственного ПО Microsoft для Bluetooth.

Windows Security Center

В Windows XP с SP2 появился интерфейс Центра обеспечения безопасности (Security Center), предоставляющий контроль над настройками автоматических обновлений, брандмауэра и используемого антивирусного ПО. Мы проверяли эту функцию с рядом антивирусных приложений, и Security Center хорошо справлялся с обнаружением антивирусной программы, контролем актуальности антивирусных баз и активного состояния антивирусного монитора.

В ряде случаев для использования ПО в обновленной ОС нам потребовалось загрузить его исправления. Например, после инсталляции SP2 на ПК с установленным AntiVirus Corporate Edition 9.0 корпорации Symantec Центр безопасности сообщил о присутствии антивирусного ПО, но не смог определить его статус. После же инсталляции обновления с Web-сайта Symantec эта функция заработала нормально.

Со старшим аналитиком Джейсоном Бруксом можно связаться по адресу: jason_brooks@ziffdavis.com.

Версия для печати