`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Windows XP Service Pack 2: безопасность превыше всего

0 
 

Первой ласточкой станет Service Pack 2 для Windows XP, бета-тестирование которого началось в декабре 2003 г. Официальный релиз планируется ближе к концу текущего полугодия, однако часть нововведений показалась нам достаточно важными, чтобы познакомить наших читателей с ними заранее.

Учитывая, что во все времена основные нарекания по поводу продукции Microsoft касались именно безопасности, неудивительно, что этой области уделено и наибольшее внимание. Формально архитекторы и программисты взялись за ум не так уж и давно -- до объявления инициативы Trustworthy Computing функциональность официально превалировала над безопасностью. Первым продуктом, в котором проявились результаты смены приоритетов, стала Windows Server 2003, она в то время еще находилась в процессе разработки. Но можно ли как-то поправить ситуацию с более старыми операционными системами, установленными сегодня на подавляющей части компьютеров? Видимо, можно, хотя объять необъятное не удается даже Microsoft. Для Windows 98/98SE/Me просто продлена стандартная поддержка (подразумевающая выпуск заплаток), пока нет четкой информации, что именно привнесет ожидаемый Service Pack 5 в Windows 2000, а вот в Windows XP многие проблемы будут решены принципиально.


Отгородимся от старого мира

Windows XP Service Pack 2 безопасность превыше всего
NX — пока только заготовка
Один из компонентов, претерпевший наибольшие изменения в Windows XP Service Pack 2, -- Internet Connection Firewall (ICF). Он обзавелся новым интерфейсом, собственной пиктограммой в панели управления, многочисленными параметрами. Но за внешними атрибутами, естественно, скрывается существенное усовершенствование механизмов и принципов работы брандмауэра. Теперь его настройки являются глобальными, т. е. по умолчанию применяются ко всем доступным сетевым интерфейсам, хотя возможность раздельного конфигурирования также сохранена. Кроме того, пользователи мобильных компьютеров смогут создавать различные профили для корпоративной и публичных сетей и применять их при необходимости.

Новый режим защиты "с исключениями" подразумевает индивидуальный контроль за программами, прослушивающими локальные порты, -- хоть собственными службами Windows XP, хоть сторонними приложениями. В этом смысле ICF сделал шаг навстречу уже ставшим привычными персональным брандмауэрам, однако нужно понимать, что исходящий трафик по-прежнему не контролируется, и, по-видимому, Microsoft не планирует реализовывать эту функциональность и в дальнейшем. Дополнительно доступ к серверным компонентам можно разрешать только из локальной сети -- эдакая упрощенная версия IP-фильтрации. Отдельная группа параметров позволяет также гибко управлять протоколом ICMP.

В Windows XP Service Pack 2 штатный брандмауэр будет включен по умолчанию, а его драйвер -- загружаться на самых ранних стадиях инициализации ОС, причем в так называемом Shielded Mode, аналоге режима "все запрещено". Все правила и параметры вступят в силу только после активизации соответствующей системной службы ICF. Кроме того, брандмауэр может автоматически переходить в этот режим при выявлении каких-либо атак. Вообще, почти вся дистанционно доступная функциональность либо запрещена по умолчанию, либо закрыта от несанкционированного использования, доступом к механизмам RPC и DCOM теперь можно управлять с помощью специальных ключей реестра и обычных ACL.

Естественно, подобные нововведения усложняют корректную настройку ICF для конечных пользователей, поэтому в Windows XP Service Pack 2 реализованы дополнительные средства административного управления -- групповые политики и утилиты командной строки.


Серферу на заметку

Windows XP Service Pack 2 безопасность превыше всего
Контролировать серверные службы просто и удобно
Не могли остаться без внимания и клиентские программы, излюбленные места выявления различных уязвимостей и повышенного интереса хакеров и киберхулиганов -- Outlook Express и Internet Explorer. Для первой из них полная информация пока недоступна (возможно, доработки будут продолжены), на поверхности находится лишь блокировка ссылок из сообщений в формате HTML на внешние Web-ресурсы (данный трюк используется в так называемых web bugs) аналогично тому, как это сделано в Outlook 2003. Зато многие новшества в самом популярном броузере не могут не радовать.

В текущей версии Internet Explorer реализовано чрезвычайно мощное и удобное средство управления различными подключаемыми модулями. Контролируются и ActiveX-элементы, и так называемые BHO (Browser Helper Object), и дополнительные панели инструментов, и модули-расширения -- ни одна из сторонних разработок не обеспечивает такого охвата. Правда, обнаруженные объекты можно только блокировать/активизировать (а корректно оформленные ActiveX еще и обновлять), но не удалять -- вероятно, разработчики умышленно пошли на такое ограничение. Более того, ведется статистика использования всех подключаемых модулей, учитываются даже их сбои, благодаря чему пользователь может легко отключить мешающий ему код.

Во всех зонах безопасности появились подробные настройки для Java-машины (причем только от Microsoft! Не послужит ли это новым толчком к разбирательству с Sun?), а также возможность контролировать еще один тип "активных объектов", так называемых binary behaviors (впервые поддержанных еще в Internet Explorer 5.0), инкапсулирующих функциональность для стандартных HTML-элементов.

Зона безопасности Local Machine (которая не отображается в стандартном окне настроек), применяемая к Web-страницам, размещенным на локальном жестком диске, теперь также содержит все необходимые параметры (по умолчанию установленные в более жесткие значения, чем в прежних версиях). Опять же это касается только Internet Explorer, приложения, использующие его ядро, должны предварительно регистрироваться в специальном разделе реестра, а сторонним разработчикам придется заботиться о подобных механизмах самостоятельно. Таким образом, Microsoft явно открещивается от какой бы то ни было ответственности за чужие Internet-приложения, которые она вынуждена "уравнивать в правах" с собственными в результате известных судебных разбирательств.

Многим также наверняка придется по душе простой, но достаточно эффективный механизм подавления всплывающих окон. Кроме того, теперь нельзя с помощью сценариев создавать новые окна Internet Explorer без панелей заголовка и статуса, перемещать их за пределы экрана или открывать в полноэкранном режиме. Имеется также возможность раз и навсегда отказаться от загрузки нежелательных ActiveX-элементов и других модулей, а также автоматически очищать кэш броузера после его закрытия.


Не исполни!

Windows XP Service Pack 2 безопасность превыше всего
Лучшее средство управления add-on-модулями теперь в самом Internet Explorer
Пожалуй, одно из наиболее интересных, но и неоднозначных нововведений -- технология защиты памяти, она же Execution Protection, или NX (от No eXecute). Суть ее состоит в запрете выполнения программного кода из областей данных, без явной пометки страниц памяти как исполняемых. Таким образом вроде бы можно одним махом исключить все уязвимости типа переполнения буфера. Но, естественно, данная функциональность должна быть поддержана аппаратным обеспечением -- процессорами, которые в ответ на подобные сомнительные программные трюки генерируют соответствующее исключение. В настоящее время NX реализована в Itanium и семействе AMD64 (в режиме Physical Address Extension). Предполагалось, что эта технология также появится в новых процессорах Prescott, однако, согласно последней информации, Intel, кажется, решила воздержаться от подобного шага. Причина -- угроза совместимости существующего 32-разрядного ПО, в первую очередь использующего механизмы JIT. Впрочем, проблема была понятна с самого начала, потому Microsoft пытается сделать данную функцию ОС максимально гибкой -- в идеале Execution Protection можно будет включать/отключать по отдельности для каждого приложения.


В ожидании

Конечно, данный обзор не может охватить все новые функции и механизмы Windows XP Service Pack 2, тем более что часть из них еще не реализована (скажем, ходят слухи, что Windows XP будет поддерживать одну или две полноценные терминальные сессии через Remote Desktop), а другие, возможно, изменятся. Тем не менее совершенно очевидно, что к окончательному релизу нас ждет много интересного, а некоторые улучшения будут носить весьма принципиальный характер -- видимо, этим и объясняется такой длительный период "обкатки" Service Pack 2. Дело даже не в необходимости убедиться в корректном функционировании исправленного кода или дождаться реакции тестеров, прежде всего нужно дать время сторонним разработчикам учесть все изменения и обеспечить совместимость своих продуктов. Не случайно каждый раздел документации к Windows XP Service Pack 2 содержит пункты "Что будет работать по-другому" и "Как это исправить". Что ж, будем надеяться, что у всех все получится.
0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT