ШОН ДЕЙЛИ Шон Дейли — один из редакторов журнала Windows NT Magazine и президент компании iNTellinet Solutions, занимающейся консалтингом и сетевой интеграцией. Имеет звание MCSE. Последней из его книг была «Optimizing Windows NT», выпущенная издательством IDG Books. С ним можно связаться по адресу электронной почте: sean@ntsol.com.

Если же подходить с этими критериями к Service Pack 5 (SP5), возникает желание назвать его «саботажным пакетом 5». Уже очевидно, что он негативно влияет на работу средств удаленного доступа — RAS, RRAS и DUN — настолько, насколько это вообще возможно.

Давайте кратко перечислим проблемы, связанные с удаленным доступом, которые могли бы сподвигнуть пользователей на установку новоиспеченного пакета. Вот список основных ошибок SP4, которые разработчики обещали устранить в SP5.

  • Если соединение DUN запускается с помощью ярлыка, пользователя ждет визит д-ра Ватсона.
  • При работе приложений с интерфейсом RasDial происходит утечка дескрипторов — дескрипторы маркеров процессов открываются, но никогда не закрываются.
  • Запуск диспетчера удаленных соединений rasman.exe из командной строки с длинным списком параметров приводит к сообщению о нарушении прав доступа.
  • Автоматическая установка службы маршрутизации и удаленного доступа Routing and Remote Access Service (RRAS) не работает.
  • Попытка создать новое соединение в административной программе RRAS заканчивается сообщением о нарушении прав доступа.
  • На медленных каналах связи соединения RRAS прерываются из-за истечения тайм-аута.
  • RRAS перестает отвечать на звонки при большой нагрузке и отказывается работать, если установить количество гудков равным 0.

Глядя на этот довольно-таки устрашающий список ошибок, любой администратор NT должен был бы ухватиться за SP5 обеими руками. Действительно, вряд ли новый пакет исправлений способен ухудшить положение — куда уж хуже? К сожалению, это не так. Ниже я вкратце перечислю наиболее известные ошибки SP5, связанные с удаленным доступом (опубликованные Microsoft исправления к SP5 можно найти по адресу: ftp://ftp.microsoft.com/bussys/winnt/ winnt-public/fixes/usa/nt40/hotfixes-postsp5).

  • Защита и неверные записи телефонной книги. Когда в телефонную книгу умышенно заносят некорректные записи, буфер может переполниться, что ослабляет защиту удаленных соединений. В частности, эта ошибка позволяет злоумышленнику запускать приложения, присваивать себе необходимые привилегии и атаковать клиента RAS по широко известной схеме «отказ в обслуживании» (Denial of Service, DoS). Эта ошибка исправляется специальной «заплаткой» RAS-fix, которая описана в статье «Malformed Phonebook Entry Security Vulnerability in RAS Client» (http://support.microsoft.com/support/kb/ articles/q230/6/77.asp).
  • Проблемы с кэшированием паролей соединений удаленного доступа. Когда пользователь подключается к удаленной системе, появляется диалоговое окно, в котором имеется флажок «Сохранить пароль»; если он установлен, система кэширует пароль подключения. Однако после установки SP5 эта функция начинает работать иначе — независимо от состояния флажка «Сохранить пароль» RAS кэширует пароль в системном реестре. В результате пароль пользователя может оказаться в чужих руках со всеми вытекающими отсюда последствиями. Специалисты Microsoft прокомментировали этот вопрос в статье «DUN Credentials Cached When Save Password Not Selected with RAS» (http://support.microsoft.com/support/kb/ articles/q230/6/81.asp); ее устраняет исправление RASPassworddialer-fix.
  • Проблемы с кэшированием паролей соединений RRAS. Эта ошибка идентична предыдущей, но относится к соединениям RRAS. Она описана в статье «DUN Credentials Cached When Save Password Not Selected with RRAS» (http://support.microsoft.com/support/kb/ articles/q233/3/03.asp); исправление RRASPassword-fix можно загрузить с узла Microsoft.

    Итак, я перечислил только основные обнаруженные пользователями ошибки. После выпуска SP5 новые проблемы и соответствующие «заплатки» от Microsoft обнаруживаются почти ежедневно. Тем, кто собирается установить SP5 или любую «заплатку» к нему, очень рекомендую сначала протестировать их в непроизводственной среде. Здесь уместно напомнить оговорку Microsoft относительно «заплаток»: «Опубликовано официальное исправление, устраняющее эту ошибку, однако оно не прошло исчерпывающего тестирования и рекомендуется к применению только на системах, где обнаружена данная проблема».

Сейчас уже доступен Service Pack 6. Однако не следует ожидать от него слишком много — на сайте Microsoft были опубликованы исправления к еще не вышедшему пакету, чтобы залатать «дыру» в системе защиты RAS! Судя по опыту работы с SP4 и SP5, мне придется собственноручно заняться «исчерпывающим тестированием», прежде чем устанавливать SP6 на любом из своих серверов.

Поделитесь материалом с коллегами и друзьями