Несмотря на бесконечные усовершенствования и исправления недоработок, продукты Microsoft остаются любимыми объектами атак злоумышленников, и атаки эти, похожие на террористические акты, продолжают подрывать доверие к Microsoft. Только за последние несколько недель компания опубликовала огромный и в то же время достаточно спорный список тех исправлений в области служб защиты, которые будут выпущены в составе версии Windows XP Service Pack 2 (SP2), продукта, ориентированного на безопасность. Его появление ожидалось в период с середины 2004 года до конца лета. Однако недавно злоумышленники запустили нового электронного "червя", воспользовавшись недоработкой, на которую компания вроде бы только что выпустила программу коррекции. Ожидается, что из-за него пострадают миллионы пользователей. К счастью, он хотя бы не удаляет данные. Если вы попали в неприятную ситуацию в процессе администрирования систем Windows и считаете, что у вас есть время на передышку, подумайте еще раз.
Среди всех упомянутых выше затруднений самыми неприятными мне представляются задержки с выходом XP SP2. Несмотря на возможные проблемы, связанные с совместимостью, которые, возможно, попортят нервы большому количеству клиентов, в конечном счете, XP SP2 предоставляет пользователям XP автоматические функции и средства, необходимые для охраны систем, а также личной информации и данных, в случае атаки извне. Досадно, что Microsoft рекламирует XP SP2 как панацею от хакеров уже в течение нескольких месяцев, а теперь вдруг объявляет дату выхода в конце лета, что подразумевает достаточно долгий период ожидания. С таким же успехом мы можем подождать и Longhorn. Понятно, что средства безопасности в будущем станут еще лучше, но нам то они нужны сейчас!
Последняя атака подводит под рассматриваемым вопросом жирную черту. "Червь" по имени Sasser автоматически распространялся в Internet и не нуждается в отправлении вручную по электронной почте. Запуск "червя" активируется при открытии почтового соединения или при выполнении других привычных действий. Sasser использует одну из множества лазеек, залатанных Microsoft при помощи апрельского релиза исправлений для системы безопасности, так что пользователи, в распоряжении которых имеется Automatic Updates, корпоративные пакеты обновлений Software Update Services (SUS) или Microsoft Systems Management Server (SMS), находятся в безопасности. Но миллионы систем XP (и Windows Server 2003, и Windows 2000) остаются незащищенными. Если бы пакет XP SP2 был доступен сегодня, это обновление предотвратило бы еще одну XP-эпидемию, которую начал Sasser.
XP SP2 способен предотвращать подобные атаки, потому что по умолчанию запускает Windows Firewall. Сегодня мы не будем говорить о том, стоило ли компании применять подобную меру к Internet Connection Firewall (ICF), компоненту оригинального XP, пакету, который является предшественником Windows Firewall. Но, приняв во внимание множество жалоб на совместимость от клиентов и партнеров, Microsoft выпустила XP с отключенным по умолчанию ICF...
Не случайно недавняя задержка выпуска XP SP2 связана с проблемами совместимости, и обучение клиентов станет ключевым моментом в процессе установки этого обновления на максимально возможное количество машин за максимально короткий срок. За время "общения" с XP SP2 Release Candidate 1 (RC1) я нашел несколько недоработок, с которыми столкнется основная масса пользователей, когда бы ни вышел SP2.
Первая обнаруженная мной проблема заключалась в том, что машины с XP SP2 не смогли печатать на моем сетевом сервере печати. Я приобрел небольшой недорогой сервер печати NETGEAR, который позволяет подключать параллельные и USB принтеры к сети напрямую. Это устройство предоставляет возможность выводить документы на принтер с любой машины, подключенной к сети. Однако в отличие от некоторых подобных серверов печати, NETGEAR требует для работы установки клиентской утилиты. И в отличие от устройств Hawking Technology, которые я также испытывал, серверы печати NETGEAR отказываются работать с SP2. Я потратил немного времени и выяснил, что они также не работают с XP SP1 и более поздними версиями, если включен ICF, так что стало очевидно - проблема в брандмауэре. Я до сих пор не могу ее решить; пришлось временно отключить firewall для печати, но такое решение нельзя назвать оптимальным.
Другая проблема состояла в том, что новая, более безопасная, версия Microsoft Internet Explorer (IE), поставляемая с SP2, недавно не позволила мне скачать электронную книгу с одного сайта электронной коммерции из-за того, что сайт использовал управляющий элемент ActiveX. Ни одна из настроек безопасности IE не помогала, даже включение режима "Allow downloading from this page" из новой панели IE Information Bar ничего не дало. В конце концов я сдался и загрузил электронную книгу на машине с XP SP1, которая, кстати, отлично работала. Но для многих использование старых операционных систем не представляется возможным. На предприятиях, которые задействуют ActiveX для куда более важных целей, чем загрузка электронных книг, подобное поведение операционной системы может принести массу проблем.
Даже с учетом этих проблем я все равно настоятельно рекомендую пользователям XP загрузить, проверить и начать использовать XP SP2 как можно быстрее. Этот релиз проделает долгий путь, совершенствуясь, оберегая пользователей от электронных атак и пополняя базовый набор защитных функций. Уже сейчас этот базовый набор гораздо богаче, чем у оригинального XP.
Меня часто спрашивают, будет ли выпущен подобный набор защитных средств для Windows 2000. На этот вопрос можно ответить утвердительно, хотя и здесь есть некоторые тонкости. Первоначально специалисты Microsoft разрабатывали защитные обновления для XP SP2 на основе кода Springboard, так как эти улучшения планировалось включить в состав Longhorn, следующий релиз Windows. Microsoft также включит подобные усовершенствования в состав Windows 2003 SP1 (выходит в конце 2004) и в Windows 2000 SP5. Я не знаю, когда выйдет SP5, известно лишь, что не раньше Windows 2003 SP1. Также неизвестно, какие именно особенности Microsoft включит в этот релиз, хотя представители компании публично отметили, что Windows 2003 SP1 предоставит улучшения Springboard из XP SP2, а точнее те из них, которые влияют на работу серверов.
Поль Тюрро - Редактор новостей в Windows & .NET Magazine. Готовит еженедельные выпуски Windows & .NET Magazine UPDATE, а также ежедневные выпуски новостей WinInfo (http://www.wininformant.com/). С ним можно связаться по адресу: thurott@win2000mag.com.