Плюсы и минусы XP SP2

Трудно назвать программное обновление, которое вызывало бы столько споров и разногласий, как версия Windows XP Service Pack 2 (SP2). Принято считать, что XP SP2 позволяет в значительной степени повысить уровень безопасности Windows. Однако модернизация до уровня XP SP2 имеет весьма серьезные последствия. Дело в том, что объем загружаемых файлов данного пакета обновлений составляет несколько сотен мегабайт, и многие пользователи столкнулись с трудностями в процессе установки этих файлов. 80% ИТ-менеджеров, опрошенных в ходе проведенного осенью 2004 г. компанией Insight Express исследования, планировали осуществить модернизацию своих систем до уровня XP SP2 в течение полугода с момента интервью, но только 5% респондентов полагали, что в процессе модернизации никаких проблем не возникнет. К концу октября только с Web-узла корпорации Microsoft было загружено свыше 106 млн. копий обновленной версии — а ведь были еще копии, поставляемые на дисках, а также полученные путем тиражирования копий, загруженных из Internet. Если учесть к тому же, что популярность пакета XP SP2 и его темпы внедрения оказывают влияние на предпочтения всех пользователей Windows (это свыше 90% пользователей компьютеров по всему миру), станет ясно, что значение данного пакета с точки зрения компьютерной безопасности трудно переоценить. И вот теперь, когда обстановка несколько стабилизировалась, самое время поговорить о достоинствах и недостатках XP SP2.

Усовершенствования в сфере защиты данных

Разработчики XP SP2 внесли кардинальные изменения в механизм выполнения некоторых программ Windows XP, особенно тех, что связаны с защитой данных. Многие из этих изменений реализованы в программе Windows Firewall, ранее именовавшейся Internet Connection Firewall (ICF). Еще одно усовершенствование состоит в том, что ряд служб, не представляющих интереса для большинства пользователей или создающих слишком большую угрозу безопасности системы, отключены либо не устанавливаются по умолчанию. Некоторые потенциально полезные с точки зрения защиты данных службы теперь активизируются автоматически. В их числе — брандмауэр Windows Firewall и новая программа Security Center, которая дает возможность просматривать настройки брандмауэра, утилиты Automatic Updates и антивирусной программы, а также содержит ссылки, позволяющие изменять эти настройки. В пакете XP SP2 имеются и другие усовершенствования: средства блокировки всплывающих рекламных объявлений и другие органы управления функциями безопасности в браузере Microsoft Internet Explorer (IE), средства защиты стека и кучи памяти операционной системы, дополнительные функции сохранения конфиденциальности данных Microsoft Outlook Express, а также диспетчер присоединенных файлов Outlook Express, позволяющий выявлять представляющие опасность файлы, присоединяемые к сообщениям электронной почты. Кроме того, пакет оснащается усовершенствованными средствами беспроводной связи для Windows XP и средствами связи стандарта Bluetooth.

Усовершенствования в области обеспечения безопасности настолько всеобъемлющи, что могут препятствовать выполнению некоторых сетевых приложений. Основная проблема заключается в том, что брандмауэр может оказать влияние на работу приложений, созданных независимыми поставщиками или разработчиками компаний; речь идет в первую очередь о прикладных программах, написанных для более ранних версий Windows, таких как Windows NT или Windows 98/95. В прессе неоднократно сообщалось о проблемах, связанных с функционированием SQL Server, RPC (поскольку в числе прочих модификаций анонимные RPC отключаются по умолчанию) и многих приложений, созданных силами корпоративных программистов. Почти всегда эти проблемы можно решить, подобрав настройки брандмауэра или отключив средства сетевой защиты. А некоторые специалисты в области безопасности вообще полагают, что такие приложения выходят из строя потому, что изначально не соответствуют стандартам безопасности. Мы все знали, что рано или поздно нам придется разбираться с этими программами. Но если эту работу нужно выполнять до установки XP SP2, некоторые предприятия предпочитают откладывать установку пакета обновлений.

Мнения корпоративных специалистов

Я решил выяснить, используют ли компании рассматриваемую «суперзаплату» или собираются взяться за эту работу лишь после того, как другие выявят все ее недостатки. С этой целью я провел опрос среди ИТ-менеджеров агентства по сбору платежей, банка и компании по управлению недвижимостью. Почти все осуществившие модернизацию пользователи сообщили о том, что XP SP2 позволяет добиться более высокой общей производительности, однако некоторые отметили снижение быстродействия систем. Компьютерам XP SP2 может потребоваться чуть больше оперативной памяти, так как брандмауэр и некоторые другие службы по умолчанию включены. Поэтому, если емкость оперативной памяти компьютера составляет 128 Мбайт или менее, ее стоит оснастить более мощными модулями памяти. Кроме того, администратору, возможно, имеет смысл отключить некоторые службы для высвобождения оперативной памяти. Ряд предложений по настройке служб XP SP2 можно найти по адресу ttp://www.blackviper.com/winxp/servicecfg.htm. По мнению специалистов этого сайта, из 34 служб, по умолчанию включаемых системой XP SP2, для выполнения базовых операций используется лишь шесть.

Дж. Т. Кларк из компании Gila Group рассказал, что в его специализирующейся на сборе платежей фирме системы XP SP2 развернуты по всему предприятию и что проблем с ними почти не было, если не считать некоторых осложнений с программами типа приложений для серверов терминалов. Он полагает, что лучше внедрить новую технологию и научиться ее использовать, чем жить в постоянном страхе из-за возможных посягательств на целостность данных, которым по-прежнему подвержены компьютеры, оснащенные более ранними, чем XP SP2, операционными системами.

Майк Хабмер из банка Horizon Capital тоже развернул системы XP SP2 во всех филиалах и отделениях своего банка, выполняя дистанционную установку по всей сети с помощью специального инструмента для развертывания исправлений. Он устанавливал систему XP SP2 с отключенным брандмауэром, полагая, что таким образом удастся избежать проблем с совместимостью и что его внешние брандмауэры, а также система выявления вторжений Intrusion Detection System (IDS) смогут обеспечить достаточный уровень защиты для внутренней локальной сети. Впрочем, он отдает себе отчет в том, что при таком подходе каждый компьютер лишается дополнительной линии обороны в виде отдельного брандмауэра.

Крис Панто, менеджер систем управления информацией, специализирующийся на управлении недвижимостью компании Metro National, пока не смог развернуть систему XP SP2, так как используемые в его организации программные средства от независимых поставщиков несовместимы с этим пакетом обновлений. Но как только поставщик приложений разработает соответствующую программу коррекции, Панто приступит к модернизации. Он рассказал, что те несколько машин, на которых сотрудники его компании протестировали XP SP2, функционируют без видимых проблем и что реализованные в браузере IE новые средства блокировки всплывающих рекламных объявлений, а также средства блокировки элементов управления ActiveX показались ему достойными внимания. Кроме того, он полагает, что брандмауэр — замечательный инструмент для домашних пользователей и для сотрудников, которые работают дома на компьютерах, подключенных к сети организации, но на машинах, подключенных к внутренней локальной сети, он все-таки, вероятно, отключит эти программы.

Мой личный опыт (я участвовал в модернизации компьютеров нашей консалтинговой фирмы) свидетельствует о том, что переход на новую систему не влечет — или почти не влечет — за собой каких-либо изменений в работе сети, если не считать незначительного снижения производительности некоторых наиболее слабых машин. Мы оценили то обстоятельство, что с появлением новых средств параметры безопасности стали более заметными, а управление ими — более легким.

Борьба продолжается

Разумеется, XP SP2 — не волшебная палочка и не может защитить от всех угроз безопасности. С момента появления этой системы в ней тоже были обнаружены уязвимые места. К примеру, один из видов вируса Bagle способен отключать новый брандмауэр. Так что Microsoft продолжает выпускать модули коррекции, которые противодействуют посягательствам на средства защиты XP SP2. Конечно, эта система несколько усложняет задачу хакеров, и любые шаги в этом направлении можно только приветствовать, но обеспечение безопасности компьютеров — процесс, который не завершается никогда. Давайте с этих позиций поразмышляем о том, какие новые возможности были бы уместны в пакете XP SP3 или в Longhorn (выпуск этой версии Windows ожидается в 2006 г.). Вот краткий список функций безопасности, которые мы хотели бы видеть в XP SP3 или в Longhorn (в зависимости от того, какой из продуктов появится раньше).

Предварительные настройки брандмауэра. Создать для брандмауэра Windows Firewall несколько предварительно настроенных конфигураций с оптимальными настройками для таких типичных конфигураций, как домашний компьютер с подключением к Internet по коммутируемым линиям, компьютер домашнего офиса с широкополосным подключением к Internet и компьютер, подключенный к корпоративной локальной сети.

Настройка средств блокировки всплывающих рекламных объявлений и элементов управления ActiveX. Предоставить пользователям возможность отключать блокировку всплывающих рекламных объявлений и элементов управления ActiveX, поступающих c определенных IP-адресов, таких как внутрисетевые адреса и адреса популярных Web-узлов. Корпорация Microsoft могла бы также включить в программу редактируемый белый список из 100 или 1000 наиболее популярных Web-сайтов.

Средства обнаружения и блокировки «шпионского» программного обеспечения. Интегрировать в операционную систему средства обнаружения и блокировки «шпионов». Microsoft уже сделала первый серьезный шаг в этом направлении, когда приобрела компанию GIANT Company Software и выпустила бесплатно распространяемую бета-версию продукта Microsoft Windows AntiSpyware, созданного на базе пакета GIANT AntiSpyware. Похоже, версия вполне добротная, но пока неизвестно, будет ли она и впредь распространяться бесплатно и оставаться неинтегрированной в операционную систему. Я думаю, что выпуск этой бета-версии — шаг в правильном направлении и что если и есть технология, которую следует включить в Windows, то это технология блокировки шпионских программ. В настоящее время программу Microsoft Windows AntiSpyware можно загрузить по адресу http: //www.microsoft.com/athome/ security/spyware/software/default.mspx.

Проверка того, что процедуру регистрации в системе выполняет администратор, а не вирус, выдающий себя за администратора. Один из способов убедиться в том, что процедуру регистрации администратора в системе выполняет человек, состоит в следующем. В первый раз, когда администратор вводит символы, они отображаются в затененном или размытом виде, после чего администратору предлагается вновь ввести эти символы. Этот метод, требующий от оператора интеллектуальных способностей, которыми не располагают ни вирусы, ни «черви», может поставить заслон на пути многих вирусов, способных захватывать пустые или содержащие легко угадываемые комбинации символов учетные записи администраторов. Я не думаю, что администраторы будут сетовать на включение в процедуру регистрации еще одного этапа, если в итоге в систему будет попадать меньше вирусов и «червей».

Предотвращение переполнения буферов. В конечном итоге система Windows должна более эффективно бороться с переполнением буферов; ведь, как правило, именно этого и добиваются хакеры, организующие атаки на уровне ядра. Разработка средств защиты от переполнения буферов с использованием флага No Execute (NX) в системе Windows Server 2003 for 64-Bit Extended Systems во взаимодействии с такими процессорами, как 64-разрядный Intel Itanium и AMD Opteron, очень своевременна. Будут ли эти усовершенствования в сфере безопасности приводить к сбоям в выполнении еще большего числа прикладных программ? Разумеется, будут; ведь многие программы (и ленивые программисты) привыкли иметь дело с традиционно слабыми средствами защиты Windows. Но специалистам Microsoft, независимым поставщикам и пользователям Windows придется смириться с этим, если мы действительно хотим решить проблемы, связанные с безопасностью. Нелегкая задача разработчиков Microsoft состоит в том, чтобы, с одной стороны, давать пользователям возможность делать то, что им нужно, а с другой — не позволять им делать то, что может представлять угрозу. Что и говорить — диалектика.


Президент консалтинговой компании Network Security Services, имеет сертификаты CISSP и GSNA. thowlett@netsecuritysvcs. com