ПАКЕТ ИСПРАВЛЕНИЙ ДЛЯ MICROSOFT INTERNET EXPLORER
Microsoft обюявила о серьезной «дыре» в защите браузера Internet Explorer (http://www.microsoft.com/technet/security/bulletin/ MS03-004.asp). Она позволяет взломщикам подавать команды локальной вычислительной системе и встречается в версиях программы 5.01, 5.5, а также 6.0. Пакет исправлений, включающий в себя также функциональность более ранних заплат, доступен для загрузки по указанному выше адресу Internet.
«ДЫРА» В СИСТЕМЕ ЗАЩИТЫ WINDOWS XP
Как «значимую» расценивает компания Microsoft брешь в системе безопасности своей операционной системы ХР (см. http://www.microsoft.com/technet/security/bulletin/ MS03-005.asp). Взломщики могут потенциально воспользоваться ею для запуска своих программ на машинах, имеющих сетевые ресурсы со свободным доступом, а также вызвать фатальный сбой системы. Причиной этого является переполнение буфера в редиректоре Windows. Для решения названной проблемы Microsoft предлагает использовать исправление, размещенное на указанной выше странице Всемирной сети.
«ДЫРА» В ЗАЩИТЕ МЕНЕДЖЕРА ПРЕДУПРЕЖДЕНИЙ SYMANTEC/NORTON ANTIVIRUS CE ВЕРСИЙ ОТ 6.Х ДО 8.Х
Менеджер предупреждений позволяет сообщать о тревожных ситуациях, а также выполнять программы при наступлении определенных событий (например, в случае обнаружения вируса). Одной из составных частей предупреждения об опасности является тестирование сообщений и предусмотренных действий посредством «контрольной проверки» (Test Action). Взломщик при помощи инструмента AMS Admin Utility может без аутентификации удаленно получить доступ к серверам с загруженным Alert Server (составная часть каждой стандартной инсталляции Symantec/Norton Antivirus Corporate Edition Server, начиная с версии 6.х и заканчивая 8.х) и запускать там программы, прибегнув к функции «контрольная проверка». Они вызываются в контексте локальной системной учетной записи, причем взломщик сможет задавать параметры командной строки.

В процессе решения этой проблемы функция Run Program («Запустить программу») должна быть отключена, для чего достаточно всего лишь удалить или переименовать файл PRGXHNDL.DLL. Он расположен в каталоге AMS сервера SAVCE ...SYSTEM32AMS_2. Это касается и вычислительных машин с Symantec System Center, а также карантинных серверов.

НЕВЫПОЛНЕНИЕ ЗАПЛАНИРОВАННЫХ ЗАДАЧ ПРИ ОТКАЗЕ ОДНОГО ИЗ УЗЛОВ В КЛАСТЕРЕ
В кластере под управлением Windows 2000 Advanced Server нельзя непосредственно определять задачи для виртуального сервера, поскольку диспетчер задач работает лишь с локальным системным бюджетом кластерного узла и не имеет информации о кластере. В том случае, когда запланированные задачи должны регулярно выполняться активным узлом, планировщик необходимо перевести в режим «запуск вручную» на обоих узлах кластера и определить его в качестве кластерного ресурса. Конкретные задачи задаются на одном узле и копируются на другой. Однако после сбоя они не работают. Обюяснение причин этого феномена можно найти в статье из базы знаний Microsoft под номером 317529 (http://support.microsoft.com/default.aspx?scid=kb;en-us; 317529). Однако предлагаемый путь решения проблемы – простое оповещение соответствующего узла, – как показывает опыт, не приносит успеха. Проблема решается лишь в том случае, когда пользователь для каждой отдельной задачи заново задает пароль для введенного бюджета.
ПОРТЫ TCP И UDP СЕРВЕРОВ ПЕЧАТИ JETDIRECT ОТ HP
Работая с маршрутизаторами и брандмауэрами, особенно важно знать номера используемых определенными сетевыми устройствами портов TСP и UDP. Поскольку серверы печати одновременно задействуют целый ряд различных портов для самых разных коммуникационных целей, то возможность быстрого знакомства с ними может оказаться очень полезной. Для этого компания Hewlett-Packard выпустила документ, где подробно описываются задействуемые серверами печати порты, а также назначение каждого из них. Он называется «HP Jetdirect Print Servers – HP Jetdirect Port Numbers for TCP and/or UDP Connections» («Серверы печати Jetdirect от НР – номера портов для соединений по TCP и/или UDP») и доступен по адресу: http://h200003.www2.hp.com/bizsupport/TechSuport/ Document.jsp?objectID=bpj01014&locale=en_US.

Некоторые из используемых портов и протоколов могут быть отключены в определенных моделях серверов печати Jetdirect, о чем, как правило, можно узнать с помощью telnet или администрирования через браузер. Более детальная информация изложена в инструкции по эксплуатации для сервера печати.

Ниже следует краткий обзор портов, упомянутых в документе поддержки НР:

  • 20: порт TCP для печати посредством FTP. Порт ожидает запросы на соединение FTP. Одновременно поддерживаются до трех сеансов FTP;
  • 23: порт TCP для telnet для удаленного конфигурирования;
  • 67 и 68: порты TCP для DHCP и BOOTP. Порт 67 является серверным, а 68 - клиентским;
  • 69: порт ТСР для TFTP. Он служит для конфигурирования и обновления встроенного программного обеспечения;
  • 80: порт НТТР для встроенного сервера Web, его назначение - администрирование посредством браузера;
  • 161: порт SNMP. Он используется для конфигурирования и опроса статуса системы при помощи утилиты SNMP, например HP Web Jetadmin;
  • 162: порт UDP для отправки прерываний SNMP. Номер порта конфигурируется;
  • 427: порт UDP для протокола определения служб (Service Location Protocol, SLP). Порт для передачи информации о предлагаемых устройством услугах. Различные программные утилиты используют многоадресную рассылку и SLP для автоматического обнаружения сетевых принтеров, а также для автоматической инсталляции клиентских принтеров;
  • 443: порт ТСР для протокола защищенных сокетов (Secure Sockets Layer, SSL). При активизации SSL/TSL обеспечивает безопасный доступ для администрирования из браузера. Кроме того, порты 80, 280 и 621 остаются открытыми для протокола печати Internet (Internet Printing Protocol, IPP), однако игнорируют прочие коммуникационные соединения;
  • 515: порт ТСР для "демона" линейного принтера (Line Printer Daemon, LPD). Он предназначен специально для печати с машин под управлением операционной системы UNIX, однако может использоваться и системами Windows (LPR Port Monitor). Порт 515 - целевой порт, на клиентских машинах в качестве портов-источников соответственно задаются порты ТСР от 721 до 731;
  • 631: порт UDP для печати через IPP. Протокол печати Internet поддерживается операционными системами, начиная с Windows 2000, однако может работать также под управлением Windows NT (HP IPC Internet Printer Connection Software);
  • 1782: порт ТСР для Jetsend. Последний представляет собой собственный протокол HP для передачи документов на автоматическую печать при условии наличия программного обеспечения HP Jetsend на клиентской машине;
  • 9100: порт ТСР для печати. В случае внешних серверов печати порты 9101 и 9102 обеспечивают адресацию параллельных портов принтеров 2 и 3;
  • 9280: порт для сканирования посредством встроенного сервера Web. Он применяется в случае многофункциональных принтеров с интегрированным сканером. При работе внешних серверов печати порты 9281 и 9282 используются для адресации параллельных портов принтеров 2 и 3;
  • 9290: порт для чернового сканирования конечными устройствами в соответствии со спецификацией IEEE 1284.4. Серверы печати с тремя интерфейсами дополнительно задействует порты 9291 и 9292. Шлюз сканирования использует порты 9220, 9221 и 9222.

В этом списке лишь косвенно упомянут порт ТСР 280, как и порт 80, он предназначен для поддержки управления по НТТР.

ИГРА В КОСТИ В КОМАНДНОЙ СТРОКЕ
Применение генератора случайных чисел в командных файлах Windows открывает некоторые любопытные возможности и в области администрирования: от генерирования случайных кодов и распределения запросов на доступ до моделирования нагрузки. Начиная с операционной системы Windows 2000, в командном процессоре для таких целей предназначена системная переменная %random% (подробный отчет через set/?). Проще всего ее вызвать, напечатав в командной строке echo %random%

Она может принимать целочисленные значения от 0 до 32767 (32768 элементов). На первый взгляд это может показаться неудобным, поскольку для практического применения обычно нужны числа из специфических для каждого приложения интервалов. Однако простая трансформация с использованием арифметических возможностей команды set поможет изменить диапазон соответствующим образом. Так, например, выполнение из командной строки:

set /a 1+6 %random%/32768

приведет к генерации случайных чисел в диапазоне от 1 до 6.

Кто хочет, может поиграть в кости в командной строке. Для гибкого применения в командных файлах команда set может быть сформулирована в более общем виде:

set /a R=L+(H-L+1)*%random%/32768

Переменная R принимает случайное значение. Переменные L и H определяют при этом нижнюю и верхнюю границу желаемого числового диапазона (LБ??RБ??H), причем значения могут быть и отрицательными. Выражение (H-L+1) представляет собой количество элементов в сгенерированном таким образом числовом промежутке.

Итак, многообразному применению случайных чисел в командных файлах больше ничто не препятствует. Среди возможных применений – управление итерациями, ветвление для перехода на заданные ветви или файлы, а также параметризация вызовов программ. Так, например, при значениях L=1 и H=254 в рамках бесконечного цикла можно обращаться ко всем рабочим станциям локальной подсети IP в случайной последовательности:

set L=1

set H=254

:LOOP

set /a R=L+(H-L+1)*%random%/32768

ping 192.168.100.%R%

goto LOOP

Точно так же можно замедлить повторное выполнение команд при помощи случайным образом задаваемой паузы ожидания:

set L=5

set H=25

:LOOP

set /a R=L+(H-L+1)*%random%/32768

echo %time% ждать %R% секунд

sleep %R%s

goto LOOP

Выше применяется известная пользователям операционной системы UNIX команда sleep (версия для Windows доступна для загрузки по адресу: http://unxutils.sourceforge.net). Пример соответствует программному циклу с переменной «время ожидания», меняющейся от 5 до 25 с. Собственно вызов программы заменен простым отображением времени суток и времени ожидания.

Случайные числа можно использовать и в качестве указателей на элементы (от 1 до N) заранее определенного списка, как это делается в команде for f. Следующий пример иллюстрирует генерирование 26-значного шестнадцатеричного кода, который может пригодиться при 128-разрядном шифровании WEP в беспроводных локальных сетях:

set I=29

set N=16

set CHAR=0 1 2 3 4 5 6 7 8 9 A B C D E F

:LOOP

set /a R=1+%N%*%random%/32768

for /f б?tokens=%R%б? %%I in (б?CHARб?) do set

Hex=%%i%Hex%

Set /a I-=1

If %I% GTR 0 goto LOOP

echo %Hex%

Переменная I определяет длину выдаваемого кода, а значение переменной N должно совпадать с количеством элементов списка CHAR. В принципе представленной программой можно воспользоваться для генерирования случайных паролей. Однако, как видно из параметров цикла for f, количество элементов списка ограничено числом 31, этого достаточно для стандартного алфавита, но никакой гибкости применения практически не обеспечивает.

Больше возможностей предлагает операция над переменными а ля set VAR=%VAR:~10,5%, при помощи которой из заданной переменной можно извлечь некоторую подстроку в соответствии с величиной смещения («10») и длиной («5»). Указанное смещение возможно задать и случайным образом. Ниже приведен пример, показывающий, как в символьном массиве (CHAR) определяются доступные для генерирования пароля (PW) символы, и выдается случайный пароль длиной в восемь символов:

set I=8

set N=39

set

CHAR=0123456789$#_abcdefghijklmnopqrstuvwxyz

:LOOP

set /a R=%N%*%random%/32768

set PW=!CHAR:~%R%,1! %PW%

set /a I-=1

if %I% GTR 0 goto LOOP

echo %PW%

Этот пример, где из-за вложенного вызова переменных используется символ «!» вместо «%», работает лишь тогда, когда командный процессор выполняется с опцией отложенного расширения переменных (cmd /V:ON). При соответствующей конструкции цикла таким способом можно генерировать сотни случайных паролей с желаемыми параметрами (в том числе для первого входа в систему или для одноразового использования) и сохранять их в отдельном файле. Причем наряду со строчными буквами алфавита можно применять и заглавные, однако необходимо соблюдать осторожность при указании специальных символов.

УВАЖАЕМЫЕ ЧИТАТЕЛИ!

Вы можете поделиться своим опытом решения проблем, возникающих при работе в сети (возможно, очень полезным многим читателям в их повседневной работе). Наиболее интересные материалы будут опубликованы в ближайших номерах «Журнала сетевых решений/LAN».

Присылайте ваши отклики по электронной почте: lan@lanmag.ru или по факсу: (095) 725-47-83.