Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 

Реклама на форуме

 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Windows XP SP2 Что день грядущий нам готовит?, Обзор Личные впечатления
VladB |
Дата 15 Сентября, 2004, 11:20
Quote Post



Unregistered









На днях попробовал установить Win XP SP2 (дома - русский, на работе, на полигоне, английский). Написал статью по этому поводу. Взяли в печать в "Компьютеры+программы".
Отрывки из нее приведу здесь. Чуть позже - дам ссылку на полную версию.

Главной чертой второго сервис-пака являются новые средства обеспечения безопасности Windows. Это отражено и в названии пакета обновлений, полностью оно звучит так: Microsoft Windows XP Service Pack 2 with Advanced Security Technologies, то есть, в вольном переводе на русский - сервис-пак с передовыми технологиями безопасности. В Microsoft постарались сделать максимум возможного, чтобы обеспечить защиту компьютеров от разного рода атак. Насколько это удалось, станет ясно после широкого распространения сервис-пака. Пока же можно сказать, что количество вопросов к Windows XP SP2 не уменьшается.
Ключевым нововведением станет «Центр безопасности»
К элементам безопасности в Microsoft относят брандмауэр, систему автоматических обновлений и антивирусные программы. Если первые два элемента содержатся в самой операционной системе Windows XP, то антивирусное программное обеспечение применяется от сторонних фирм-производителей.
На брандмауэре стоит остановиться отдельно. Если ранее управление ним по сути сводилось к двум функциям (включено/выключено), то сейчас на настройку отведено целое окно с тремя вкладками, позволяющими не только включать-выключать брандмауэр, а указывать исключения фильтрации трафика и проводить тонкую настройку межсетевого экрана. Однако стоит упомянуть об особенностях брандмауэра (Windows Firewall, старое название - ICF) от Microsoft.
По умолчанию WF работает в режиме максимальной безопасности и принцип его работы таков - запросы приложений выпускаются наружу, а снаружи принимаются только пакеты, пришедшие в ответ на запросы (соответствие запрос-ответ явно ведется в виде динамической таблицы). Таким образом, при сканировании портов на компьютере с включенным WF нет ни одного открытого порта (это логично - пакеты сканера портов не будут пропущены, т.к. их никто не запрашивал). Аналогично дело обстоит с различного рода атаками, основанными на отправке нестандартных пакетов.
К его недостаткам стоит отнести полное отсутствие визуализации происходящих процессов. Единственным способом контроля за работой WF является текстовый протокол, который пишется в указанный файл на диске . Не менее важные изменения коснулись и программы Internet Explorer.
В первую очередь надо отметить появившийся наконец-то в Internet Explorer блокировщик всплывающих окон. Подобное средство давно уже использовалось в таких браузерах как Opera и Mozilla.
Также в Internet Explorer появился менеджер настроек. С его помощью можно узнать перечень настроек и модулей ActiveX, установленных в системе и при необходимости отключить их. Это позволит контролировать процесс установки различных расширений, под которые с легкостью маскируется шпионское программное обеспечение.
Для вывода сообщений о заблокированных окнах и устанавливаемых расширениях используется специальная панель Information Bar.
Помимо управления дополнительными модулями, Internet Explorer 6 SP2 будет вести и мониторинг загрузки файлов, выявляя потенциально опасное содержимое.
Если вы используете Outlook Express, почтовую программу, идущую в составе Windows XP, обратите внимание, что некоторые параметры настройки изменились после установки Windows XP SP2. Новые параметры по умолчанию разработаны, чтобы защитить ваш компьютер от вирусов, червей и уменьшить количество получаемого спама.
Стоит упомянуть и о появившейся технологии No Execute (NX). Она позволяет предотвратить ошибки переполнения, часто используемые хакерами, путем запрещения выполнения кода, находящегося в разделе памяти для данных. К сожалению, преимущества этой технологии доступны только для пользователей 64-разрядных процессоров: Intel Xeon на ядре Nocona и AMD Opteron и Athlon 64
Установка
Рекомендуемый способ обновления системы предоставить системе автоматического обновления возможность скачать пакет с сайта Microsoft .
Вопервых, это надёжно: вы установите именно те файлы, которые выпущены Microsoft.
Вовторых, это позволяет сэкономить на объёме закачиваемой информации: нужно будет скачать и установить только те файлы, которые нужны для вашей системы.
Если же вы собираетесь обновлять несколько компьютеров, то имеет смысл скачать полный пакет исправлений (размер которого составляет 270 Мб). Также, можно создать пакет установки Windows XP с интегрированным Service Pack 2 и записать его на CD: при помощи полученного диска вы сможете обновить ОС на компьютере с уже установленной Windows XP, а также установить Windows XP SP2 на компьютер без Windows XP. Этот метод удобен тем, что после инсталляции системы не требуется отдельно устанавливать пакет обновлений, так как устанавливаться будет сразу система Windows XP SP2 .
Процедура установки практически не требует вмешательства пользователя, единственное отличие в том, что система запросит у вас имя папки, куда будет сохранена информация для возможной отмены установки второго пакета обновлений. При этом в процессе инсталляции проверяется наличие свободного места
Максимально необходимое пространство на диске в процессе установки 1100 МБ
Кроме того, требуется 30 МБ свободного места в основном системном разделе .
По окончании установки происходит перезагрузка.
После перезагрузки на экране появляется диалог, предлагающий включить автоматическую загрузку обновлений.
Централизованный контроль над безопасностью компьютера
Безопасность компьютера с точки зрения Microsoft основывается на следующих объектах:
1. Файервол (межсетевой экран, Microsoft называет его «брандмауэр»)
2. Регулярные обновления системы, установка последних исправлений, отвечающих за безопасность системы
3. Постоянно работающий антивирусный монитор с регулярно обновляемыми вирусными базами
Эти правила пропагандируются Microsoft уже около двух лет. Также во время вирусных эпидемий ссылки на этот сайт размещались на сайте обновления системы Windows Update. Microsoft называет Windows XP SP2 только первым шагом к архитектуре Trustworthy Computing (концепции защищенных информационных систем).
В Панели управления создан отдельный раздел: Центр обеспечения безопасности Windows, откуда можно будет управлять Брандмауэром (файрволом), Автоматическими обновлениями, Защитой от вирусов и Свойствами обозревателя (браузера Internet Explorer):
За состоянием безопасности системы наблюдает специальный Мастер (Wizard), который поднимает тревогу при отсутствии любого из компонентов подсистемы безопасности:
Множество пользователей тут же захочет отключить эти оповещения, как ранее отключали оповещение о малом количестве свободного места на жёстком диске. С моей точки зрения это не верно, так как так лучше правильно настроить систему. Тогда оповещения будут только помогать. Для тех, кто не согласен со мной, скажу, что отключить их можно при помощи окна Изменить способ оповещений Центром обеспечения безопасности Windows:
Настройка Internet Explorer
Расширения защиты Microsoft Internet Explorer обеспечивают улучшенную защиту против злонамеренного кода в Интернете и также обеспечивают расширения интерфейса, делающие защиту конфигурирования проще для администраторов и конечных пользователей. Новая информационная панель объединяет многие из диалоговых окон использования Internet Explorer, чтобы предоставить информацию пользователям. Internet Explorer теперь включает встроенный блокировщик всплывающих окон. Также, несколько новых параметров настройки были добавлены к зонам безопасности, доступным в Internet Explorer.
Новые Особенности Internet Explorer
Когда пользователь использует Internet Explorer, чтобы загрузить файл, в диалоговом окне отображается следующая информация:
Добавлен значок программы обработки файлов.
Добавлена новая информационная область к основанию диалогового окна, которое показывает, имеет ли загруженный файл более высокий или низкий риск.
Все исполняемые файлы, которые загружаются, проверяются на наличие подписи . Это обеспечивает способ предотвратить загрузку исполняемых файлов, которые получены от подозрительных или неопознанных издателей
После загрузки исполняемого файла, Internet Explorer отображает информацию файла. Диалоговое окно Authenticode представляет эту информацию пользователю, который сможет сделать решение о выполнении файла. Исполняемому файлу, который не включает сигнатуру , имеет недопустимого , или чей издатель был блокирован администратором систем, не будет разрешено выполниться на компьютере. Можно открыть , используя команду Manage Add-Ons в Internet Explorer.
Outlook Express Email Attachment Prompt
Outlook Express Email Attachment Prompt использует те же самые процедуры, что и загрузка файла. Исполняемые файлы проверяются с помощью подписи , и исполняемый файл, который не включает сигнатуру , имеет недопустимого , или чей издатель был блокирован администратором систем, не будет выполняться.
Add-On Install Prompt
Add-On Install Prompt Internet Explorer добавляет ту же самую информацию как описано в предыдущих двух разделах. Это дает возможность пользователям знать точно, какие дополнения они включают в Internet Explorer и делать информированное решение об их использовании.
Add-on Management and Crash Detection
Add-on Management and Crash Detection Internet Explorer позволяет пользователям рассматривать и управлять списком дополнений, которые могут быть загружены Internet Explorer. Это также показывает присутствию некоторых дополнений, которые ранее были трудно обнаруживаемы. Эти дополнения могли бы обеспечить нежелательные функциональные возможности или услуги и, в некоторых случаях, могли бы представлять риск защиты.
Дополнения включают:
Объекты Browser Help
Элементы управления ActiveX
Расширения инструментальной панели
Расширения браузера
Дополнения могут быть установлены из разных мест и несколькими способами, включая:
Загрузка и инсталляция при просмотре Web-страниц
Инсталляция пользователем посредством исполнимой программы
Как предустановленные компоненты операционной системы
Как предустановленные дополнения, которые идут с операционной системой
Описание панели информации Internet Explorer в Windows XP с пакетом обновления 2 (SP2)
Панель информации Internet Explorer это новый компонент пользовательского интерфейса, который появился в составе Windows XP с пакетом обновления 2 (SP2). Панель информации отображается между панелью инструментов и окном содержимого Internet Explorer, когда происходит блокирование потенциально опасного действия на веб-странице, и внешним видом напоминает область уведомлений в Outlook 2003 (в области уведомлений располагаются сведения о блокированном содержимом). Панель информации Internet Explorer в составе Windows XP с пакетом обновления 2 (SP2) заменяет большое количество стандартных диалоговых окон с запросом, и, кроме того, служит для отображения сведений, которые необходимы пользователю для выполнения определенных действий. Так, уведомления на панели инструментов появляются в случае блокирования всплывающих окон, загрузки элементов управления ActiveX, файлов и активного содержимого.
Внешним видом и выполняемыми функциями панель информации напоминает область уведомлений о блокировании данных в Outlook 2003. Когда появляется уведомление, панель информации отображается между панелью инструментов и окном содержимого Internet Explorer, а затем снова исчезает после перехода на другую веб-страницу. Текст на панели информации зависит от текущего уведомления и разбивается на две строки в случае превышения размеров панели. Ниже приведен пример стандартного уведомления на панели информации.
Текущая настройка безопасности запрещает использование элементов управления ActiveX на данной странице. Эта страница может отображаться неправильно.
Чтобы переместить фокус в окне обозревателя на панель информации, нажмите клавишу ТАВ.
Если щелкнуть панель информации правой или левой кнопкой мыши, появится меню, содержание которого зависит от текущего уведомления, однако в нем всегда имеется команда Справка панели информации для вызова подробных сведений об уведомлении. Команды, доступ к которым отменен администратором, выделены серым цветом.
Появление панели информации может сопровождаться звуковым сигналом (этот параметр включен по умолчанию). Когда появляется панель информации, в строке состояния вместо уведомления Ошибка на странице отображается значок доверия Windows.
В некоторых случаях одновременно блокируется более одного действия, например появление всплывающего окна и установка надстройки. При этом текст на панели информации имеет более общий характер, а меню содержит названия блокированных действий. Каждому действию сопоставлено отдельное подменю.
Пользователь может самостоятельно настраивать параметры безопасности для панели информации. Кроме того, попытки загрузить файл или программный код могут отображаться не на панели информации, а с помощью менее заметного уведомления (такая возможность была реализована в составе пакета обновления 1 (SP1) для Windows XP).
Блокирование всплывающих окон
Блокирование всплывающих окон включено по умолчанию. Есть ограничения на размер и позицию всплывающих окон, независимо от установки Pop-up Blocker: окна Pop-up не могут быть открыты большими чем размеры просматриваемой настольной области или вне ее.
Однако окна, открытые пользователем, будут все еще открываться обычным способом. Обратите внимание, что на сайтах, находящихся в доверенной зоне, и местных зонах Intranet никогда не блокируются их всплывающие окна, поскольку сайты считаются доверенными.
Настройка брандмауэра
Что делает Windows Firewall
Windows Firewall (межсетевой экран) обеспечивает защиту для компьютеров, которые связаны с сетью, предотвращая незапрашиваемые внешние подключения через версию 4 (IPv4) TCP/IP и версию 6 (IPv6) TCP/IP.
В брандмауэре Windows Firewall введены три режима On (Recommended), On (But don't Allow exceptions; recommended for mobile use) и Off (Not Recommended).
Варианты конфигурации включают:
Предоставление статических исключений для портов
Предоставление исключений для приложений
Конфигурирование основных ICMP вариантов
Регистрация (журналирование) отброшенных пакетов и успешных подключений
После установки Windows XP SP2 межсетевой экран включается автоматически. Это сделано для повышения уровня защищенности операционной системы.
С этим изменением, компьютер является открытым для меньшего количества нападений в течение запуска и завершения.
Брандмауэр получил собственный интерфейс (ранее его можно было настраивать только в свойствах сетевого соединения) и научился вести список программ, которым разрешен доступ в Сеть. Если поведение какой-либо программы вызывает сомнения, брандмауэр предлагает ее закрыть. В случае, если вы уверены в правильности работы прикладной программы, вы можете добавить ее в список «разрешенных».
Уникальная возможность: защита сетевых интерфейсов при включении и выключении системы, пока основной файрвол не запустился. Ранее в это время система была уязвима для атак извне.
Remote Procedure Call (RPC)
Существенно изменена архитектура подсистемы RPC, которая используется во многих системных приложениях: доступ к файлам и принтерам, автоматическое обнаружение сетевых ресурсов и проч. Многие вирусы распространялись, используя уязвимости RPC. Теперь же она требует аутентификации и с анонимными клиентами не общается. Это существенно снижает риск заражения новыми, ранее неизвестными вирусами. Уровень привилегий, на котором исполняются блоки RPC, был понижен, что также повышает устойчивость системы. Даже если злонамеренная программа проникнет на ваш компьютер, то она не сможет причинить столько ущерба, как раньше.
Подсистема DCOM также была несколько доработана с точки зрения безопасности.
Теперь по умолчанию в системе выключен сервис передачи сообщений. Для наших реалий это не очень важно, а вот в США очень распространена рассылка спама через Windows Messaging.
Поддержка беспроводных сетей
Улучшена поддержка беспроводных сетей, в том числе Bluetooth. Упор делался на безопасность подключений. Добавлен новый Мастер беспроводной сети:
Защита памяти
Microsoft реализовала два существенных механизма по борьбе с попытками запуска злонамеренного кода: NX (no-exec) блоки памяти и проверка на переполнение буфера .
Идея метода проста: если блок памяти объявлен как блок данных, то запустить код, который в нём находится, невозможно (возникает Access violation). Потому никакой программе, которая использует механизм переполнения буфера, просто не удастся запустить свой код.
Второй механизм называется «песочница» (sandboxing): проверка системой всех буферов данных насчёт угрозы их переполнения. Теперь нельзя вызвать переполнение буфера при помощи системных функций Windows: это существенно повысит защищённость ОС от вирусов, червей и троянских программ, которые часто используют переполнение буфера. Идея метода проста: каждый буфер памяти окружается специальными маркерами, за целостностью которых следит операционная система. Этот метод давно используется при разработке программ, когда за переполнением следит отладчик.
Однако вместе с обновлениями появляются и проблемы
Проблемы со вторым сервис-паком для Windows XP
Второй пакет обновлений привносит в Windows XP множество изменений, связанных с безопасностью и, в первую очередь, с работой компьютера в сети. Изменения в ряде случаев оказались весьма глубокими, поэтому программы, использующие небезопасные механизмы работать могут оказаться несовместимы с сервис-паком. Этот факт никогда не скрывался Microsoft. Еще в марте нынешнего года менеджер Microsoft Тони Гудхью заявил, что приложения, несовместимые с сервис-паком, обязательно найдутся, добавив, что не считает это недоработкой со стороны одной только Microsoft. Безопасность, по мнению Гудхью - это "проблема не только Microsoft, но и всего сообщества разработчиков".
С целью обеспечения защиты компьютера под управлением Windows XP с пакетом обновления 2 (SP2) брандмауэр Windows блокирует непредусмотренные входящие подключения. Однако в некоторых случаях возникает необходимость разрешить отдельным пользователям устанавливать подключение к компьютеру, например:
для участия в многопользовательской игре через Интернет;
чтобы получить файл, отправленный с помощью программы для обмена немедленными сообщениями.
После установки пакета обновления 2 (SP2) для Windows XP некоторым клиентским приложениям не удается получить данные с сервера, например:
клиентам FTP;
приложениям для потоковой передачи мультимедийных данных;
отдельным почтовым программам (получение уведомлений о наличии новых сообщений).
Кроме того, отдельные серверные приложения на компьютере под управлением Windows XP с пакетом обновления 2 (SP2) не отвечают на запросы клиентов, например:
веб-серверы, в т. ч. серверы PWS Personal web services
удаленный рабочий стол;
общий доступ к файлам.
В таком случае необходимо провести ручную настройку брандмауэра.
В некоторых случаях, когда брандмауэр Windows блокирует программу, появляется диалоговое окно Предупреждение системы безопасности, которое содержит следующее сообщение:
Для защиты компьютера брандмауэр Windows заблокировал эту программу от получения нежелательной информации из Интернета или по сети.
В сообщении указано название программы и ее издатель. В диалоговом окне можно выбрать одно из следующих действий.
Разблокировать программу
Продолжить блокирование программы
Продолжить блокирование программы, но предложить разблокирование позже
Ниже представлены способы, с помощью которых можно восстановить режим работы программы, существовавший до установки пакета обновления 2 (SP2) для Windows XP, а также разрешить выполнение нужных программ.
Разблокирование программы из диалогового окна предупреждения безопасности
1. В диалоговом окне Предупреждение системы безопасности выберите вариант Разблокировать программу.
2. Нажмите кнопку ОК.
Разрешение выполнения программы с помощью брандмауэра Windows
Если в диалоговом окне Предупреждение системы безопасности не выбрана команда Разблокировать программу, брандмауэр продолжает блокировать программу. Чтобы разблокировать программу с помощью брандмауэра Windows, выполните следующие действия.
1. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду wscui.cpl и нажмите кнопку ОК.
2. Откройте окно Брандмауэр Windows.
3. В диалоговом окне Брандмауэр Windows откройте вкладку Исключения и нажмите кнопку Добавить программу.
4. В диалоговом окне Добавление программы выберите программу в предложенном списке или нажмите кнопку Обзор и найдите ее самостоятельно.
5. Выбрав программу, нажмите кнопку OК.
6. Убедитесь, что на вкладке Исключения флажок напротив названия нужной программы установлен, и нажмите кнопку OК.
Примечание. Если в будущем возникнет необходимость удалить программу из списка исключений, снимите этот флажок.
Добавление программы в список исключений имеет следующие преимущества:
при этом не нужно знать номер сопоставленного программе порта;
порт, который используется программой из списка исключений, открывается только в том случае, когда программа ожидает получения данных извне.
Если программа не работает даже после внесения в список исключений или не удается найти программу при выполнении действия 4 предыдущего способа, попробуйте открыть порт вручную (Приложение 1). Однако предварительно следует определить порты, которые используются программой. Для этого в первую очередь обратитесь к разработчику программы, а если получить список портов у разработчика по каким-либо причинам не удается, воспользуйтесь средством Netstat.exe (Приложение 2).
Исходя из всего выше приведенного, следует заметить, что перед развертыванием сервис-пака специалисты служб технической поддержки должны понять, как именно следует настроить Windows XP SP 2 для нормальной работы с имеющимися программами.
И в заключение хотелось бы сослаться на рекомендации организации US-CERT, созданной при помощи Министерства внутренней безопасности США «Сервис-пак значительно повышает безопасность системы, и поэтому установить обновление крайне желательно. Вместе с тем, из-за того, что сервис-пак вносит значительные изменения в настройки операционной системы, некоторые программы могут испытывать трудности после установки сервис-пака. Поэтому в CERT рекомендуют отнестись к установке обновления максимально серьезно и сделать резервные копии всех важных данных».

Как вручную открыть порт с помощью брандмауэра Windows
Если определить используемые программой порты не удается, откройте их вручную. Чтобы определить подлежащий открытию порт, обратитесь к разработчику программы или предоставленной им документации. После этого выполните следующие действия.
1. Войдите в Панель управления.
2. Выберите Брандмауэр Windows.
3. На вкладке Исключения нажмите кнопку Добавить порт.
4. В диалоговом окне Добавление порта введите в поле Номер порта номер открываемого порта и выберите вариант TCP или UDP.
5. Введите название порта и нажмите кнопку ОК (например, Игровой порт).
6. Чтобы просмотреть или изменить область исключения для порта, нажмите кнопку Изменить область, а затем OК.
7. Убедитесь, что на вкладке Исключения указана новая служба. Чтобы открыть порт, установите флажок рядом с новой службой и нажмите кнопку OК

64/   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon
















_________________
Желающим разместить рекламу смотреть сюдой
/   
VladB |
Дата 15 Сентября, 2004, 14:50
Quote Post



Unregistered









Да, забыл сказать, что полностью статья выйдет в №10 "Компьютеры+программы". Приводить ее полностью здесь немного затруднительно. Она занимает около 28 страниц 14-м шрифтом.
4/   
Morgul |
Дата 20 Сентября, 2004, 22:10
Quote Post



Unregistered









В статье из PC Welt заявляется о наличии серьезной конфигурационной ошибке в XP SP2, приводящей ко всеобщей доступности разделенных ресурсов.

Ход рассуждений следующий. Начиная с XP SP1, галочка в настройках сетевых адаптеров (или, по крайней мере, для dialup и ADSL-соединений), отвечающая за привязку File and Printer Sharing for Microsoft Networks, приобрела косметический характер, и данная служба продолжает работать даже при ее отключении. В SP1 это не вызывало проблем, поскольку по умолчанию у каждого dialup-соединения был включен файрволл, блокирующий доступ к этой службе извне - оставляя его разрешенным для соединений по локальной сети. В SP2 настройки нового файрволла стали общими, причем настройки, связанные с разделяемыми файлами/принтерами, при установке SP2 просто наследуются из старых настроек локальной сети.

Т.е. получается, что после установки SP2 все ресурсы, разделенные для использования в локальной сети, оказываются доступными и для всего мира, после чего взломщику остается только подобрать пароль, который зачастую оказывается пустым. Далее в статье описывается, как в настройках нового файрволла блокировать внешний доступ, причем попутно обнаруживается еще один баг - при отключенном Internet Connection Sharing дефолтовая опция "Only for own network (Subnet)" просто не работает - вернее, работает, но "своей" сетью считается все подряд (факт, описанный в Technet: My network (subnet) only: "In some Internet configurations, all destinations are considered directly reachable... To reduce the vulnerability of this Internet-connected computer from other computers on the cable modem's subnet, do not use the My network (subnet) only scope option.")
46/   
VladB |
Дата 16 Ноября, 2004, 17:17
Quote Post



Unregistered









http://www.bezpeka.com/library/adm/xpsp2.html адрес обещанной статьи
17/   

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0128 ]   [ 12 queries used ]   [ GZIP включён ]






Политика конфиденциальности

Top