Массивное обновление Win XP затыкает бреши в безопасности

ОБЗОРЫ

Однако SP2 таит немалый потенциал для нарушения работы приложений

Спустя два с половиной года после появления Windows XP корпорация Microsoft выпустила для нее Service Pack 2, нацеленный на повышение уровня безопасности ОС. Обновление устраняет давнишние уязвимые места в сервисах Windows и модифицирует такие ключевые приложения, как Internet Explorer и системный брандмауэр, для того, чтобы пользователям и администраторам стало легче контролировать происходящее в их компьютерах с Windows XP.

Тестовый центр eWeek Labs довольно обстоятельно протестировал SP2, обращая особое внимание на выявление и разрешение потенциальных проблем совместимости приложений, а затем установил пакет на рабочих системах. В итоге мы убедились, что SP2 предоставляет достаточно весомые преимущества, и его можно рекомендовать для обновления всех систем Windows XP.

Решены, конечно, далеко не все вопросы безопасности Windows. Например, желательно, чтобы Microsoft улучшила управление привилегиями пользователей ОС - при запуске определенных приложений из учетной записи не администратора, а обычного пользователя по-прежнему возникают сложности. Или, хотя в Windows Update версии 5, появление которой совпало по времени с выходом SP2, содержится ряд удачных усовершенствований, не помешало бы объединить выпуски обновлений ОС и сервисных пакетов в один процесс наподобие Advanced Package Tool дистрибутива Debian Linux.

Проведя бета-тестирование SP2, мы можем утверждать, что в нем не так уж много проблем. Для большинства продуктов, с которыми мы проверяли SP2, имеются необходимые обновления. Этому, похоже, во многом помогла продолжительная и очень открытая бета-программа SP2.    

Более безопасный Internet Explorer в Windows XP SP2 позволяет гораздо лучше

управлять инсталляцией, обновлением и отключением элементов ActiveX

Конечно, почти в 300-мегабайтном объеме пакета обновлений таится немалый потенциал для создания помех действующим приложениям, который особенно затронет сетевые приложения и ПО на базе Web, разработанные внутри компаний-пользователей. Поэтому очень важно, чтобы перед полным развертыванием SP2 организации протестировали его функции в своих конкретных условиях.

SP2 наглядно высвечивает приложения, которые писались без должного внимания к вопросам безопасности. В предлагаемом пакете проводится линия на более строгое следование моделям безопасности Windows XP, чем в Gold release или SP1, и неудивительно, что установка обновления создает наибольшие помехи продуктам, при создании которых безопасность не рассматривалась в числе главных приоритетов.

Организации могут загрузить пакет для инсталляции SP2 на большое число ПК с Web-сайта Microsoft, а для индивидуальных пользователей пакет устанавливается через механизм автоматических обновлений Windows. Microsoft снабдила SP2 превосходной документацией, а на странице www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx2nd можно найти исчерпывающий обзор содержащихся в нем изменений.

Особенных перемен в работе после установки пакета пользователи XP не заметят, и переподготовка, если не считать недолгий период ознакомления, не потребуется.

Internet Explorer

Будучи всемирно известным окном в Интернет и вместе с тем исходной платформой для многих корпоративных приложений, браузер Microsoft Internet Explorer - жизненно необходимый инструмент для большинства компаний. Но одновременно это одно из наиболее уязвимых мест Windows в плане безопасности.

SP2 привносит в Windows-браузер целый ряд изменений (они будут доступны лишь в рамках Windows XP), которые делают IE безопаснее за счет дополнительного контроля и информирования пользователя о действиях ПО.

Например, в IE после установки SP2 добавляется модуль управления надстройками, показывающий список всех загруженных надстроек и элементов ActiveX с информацией о наличии у них цифровых подписей и кнопках включения, отключения или обновления этих элементов. А при аварийном завершении обозревателя Windows поможет администраторам найти причину сбоя, предоставляя сведения о загруженных в этот момент надстройках.

Обновленный IE также предупреждает пользователей в случаях, если активные элементы открываемых страниц пытаются загрузить или инсталлировать программы. С помощью новой информационной панели, появившейся поверх Web-страницы, IE отображает извещения о попытках загрузки и инсталляции ActiveX и заблокированных всплывающих окнах.

Решение Microsoft встроить в обозреватель блокировку непрошенно раскрывающихся окон функционально сближает IE с такими альтернативными браузерами, как Mozilla и Opera, и, надеемся, послужит уменьшению использования этого навязчивого приема разработчиками сайтов.

Тем не менее панель извещений и блокировка всплывающих окон создали проблему при нашем посещении сайта для загрузки демоверсий компьютерных игр. Сайт, по-видимому, открывал всплывающее окно, пытавшееся инсталлировать активный элемент, чтобы затем тут же закрыться и открыть следующее всплывающее окно.

В прежних версиях Windows проблемы здесь бы не возникли, так как окно с запросом разрешения на инсталляцию оставалось бы открытым до ответа пользователя. Но при установленном SP2 оно моментально исчезало с экрана, и мы не успевали на него отреагировать. Чтобы использовать Web-приложение, нам пришлось временно занести игровой сайт в список доверяемых узлов обозревателя.

IE стал блокировать повышение уровня привилегий в случае, когда страница, загруженная из какой-либо зоны безопасности - скажем, обозначенной словом "Интернет", - ссылается на страницу, принадлежащую более доверяемой зоне, и обозреватель теперь позволяет полностью запретить инсталляцию кода, подписанного определенными издателями. Это избавит пользователей от реагирования на повторяющиеся предложения по установке программ, которые ими уже отвергались.

Windows Firewall

Одной из наиболее капитально переработанных в SP2 функций Windows является системный брандмауэр Windows Firewall, ранее именовавшийся Internet Connection Firewall, или ICF.

Хотя многие компании наверняка содержат свои управляемые Windows-ПК за оградой корпоративного брандмауэра, растущие угрозы проникновения червей обусловливают важность защиты пользовательских систем с помощью индивидуальных брандмауэров. Встроенный брандмауэр особо нужен мобильному персоналу, вынужденному подключаться к Интернету не из корпоративной сети, а извне, и Windows Firewall стал намного сильнее ICF.

Начнем с того, что в SP2-системах брандмауэр Windows Firewall по умолчанию находится в активном состоянии, тогда как ICF, наоборот, по умолчанию был отключен. Все новые сетевые подключения в SP2-системах также по умолчанию защищены брандмауэром, причем Windows Firewall аннулирует брешь в безопасности ICF, связанную с незащищенностью системы в короткий период между включением ПК и полной загрузкой ОС.

При тестировании мы могли использовать функции Windows Firewall для статического открытия портов, добавления исключений, связанных с конкретными приложениями, и регулировки диапазона действия исключений на базе подсети.

В диалоге конфигурирования брандмауэра имеется окошко для метки "не разрешать исключения", что очень полезно при работе в потенциально небезопасной среде, скажем в номере гостиницы или при беспроводном подключении из публичной точки доступа.    

Мы могли задавать эти установки, используя инструмент "Групповая политика" или из командной строки через утилиту под названием Netsh.

Входящий в систему без привилегий администратора лишен возможности интерактивного управления Windows Firewall, при котором брандмауэр запрашивает разрешения на доступ приложения к заблокированному порту. При повторных обращениях сетевой программы к такому порту пользователь увидит окно с рекомендацией обратиться к администратору для его открытия. Однако в сообщении нет номера порта, и оно поэтому не окажет особой помощи при составлении заявки в группу ИТ-поддержки.

Заметим, что исходящий трафик Windows Firewall не блокирует, и в этом плане некоторые компании будут заинтересованы в более функциональном брандмауэре.

Сетевая защита

Microsoft усовершенствовала множество деталей в функционировании Windows XP, в частности по умолчанию дезактивировала такие не слишком важные и часто используемые не по делу сервисы, как Windows Alerter и Messenger. Включенный Windows Messenger (не путать с IM-клиентом MSN Messenger) является особенно излюбленной мишенью для рассылок спама.

В SP2 ужесточены правила, регулирующие применение Windows-модели DCOM (Distributed Component Object Model), в которую встроены новые средства управления доступом, гарантирующие, что COM-приложения будут обеспечивать минимальный уровень безопасности.

Появились ограничения и на функционирование подсистемы Windows RPC (Remote Procedure Call), в которой, например, исключена возможность анонимного удаленного доступа к RPC-интерфейсам. Если существующие приложения все же используют анонимный доступ, их либо придется переделать в соответствии с новыми нормами, либо администраторам следует внести коррективы в реестр Windows, чтобы вернуть установки SP1.

SP2 также содержит изменения в редиректоре WebDAV (Web Distributed Authoring and Versioning) - компоненте, обеспечивающем одновременную работу разных пользователей над одним документом или сайтом по протоколу WebDAV, который откажет в доступе, если конфигурация сервера WebDAV не предусматривает безопасной аутентификации.

Защита памяти

SP2 поддерживает функцию DEP (предотвращение запуска кода, объявленного как данные), позволяющую, например, помечать области памяти, выделенные для данных. Это является определенной преградой для атак, использующих переполнение буфера.

Функция DEP в SP2 требует аппаратной поддержки и работает только в процессоре фирмы Advanced Micro Devices с защитой неисполняемых страниц или в процессоре Intel с битовой функцией Execute Disable. Пакет SP2 обеспечивает программную поддержку DEP в коде ядра Windows XP. Администраторы могут отключать DEP на уровне Windows-систем или приложений.

Wi-Fi и Bluetooth

Microsoft переработала диалоги окна Wireless Network Connection, чтобы предоставлять дополнительную информацию о существующих точках доступа. Появился новый мастер Wireless Setup Wizard, позволяющий администраторам задавать параметры безопасности для большого числа систем, работающих в беспроводной сети.

SP2 обеспечивает естественную поддержку Bluetooth посредством драйверов и средств конфигурирования, которые теперь стали частью Windows. Установив SP2 на тестовый ноутбук, мы деинсталлировали прежние фирменные драйверы Bluetooth поставщиков аппаратуры и без помех переключились на использование собственного ПО Microsoft для Bluetooth.

Windows Security Center

В Windows XP с SP2 появился интерфейс Центра обеспечения безопасности (Security Center), предоставляющий контроль над настройками автоматических обновлений, брандмауэра и используемого антивирусного ПО. Мы проверяли эту функцию с рядом антивирусных приложений, и Security Center хорошо справлялся с обнаружением антивирусной программы, контролем актуальности антивирусных баз и активного состояния антивирусного монитора.

В ряде случаев для использования ПО в обновленной ОС нам потребовалось загрузить его исправления. Например, после инсталляции SP2 на ПК с установленным AntiVirus Corporate Edition 9.0 корпорации Symantec Центр безопасности сообщил о присутствии антивирусного ПО, но не смог определить его статус. После же инсталляции обновления с Web-сайта Symantec эта функция заработала нормально.

Со старшим аналитиком Джейсоном Бруксом можно связаться по адресу: jason_brooks@ziffdavis.com.

Версия для печати