Duża poprawka od podszewki
-
- Tomasz Onyszko,
- 22.03.2004
Pozwala to na elastyczne kształtowanie polityki zabezpieczeń w systemach wyposażonych w wiele interfejsów.
Tym, co szczególnie zainteresuje administratorów większych sieci, jest możliwość sterownia ustawieniami Windows Firewall poprzez szablon administracyjny dostarczany wraz z SP2. Korzystając z tego mechanizmu, możemy definiować przez Group Policy różne profile dla użytkowników działających w sieci firmowej i poza nią (mobile user). W tych ustawieniach znajdziemy bardzo przydatne opcje pozwalające na konfigurację dynamicznego udostępnienia portów RPC i usług file and print sharing, dzięki temu możliwe jest stosowanie Windows Firewall w sieci lokalnej opartej na sieci Windows, jak również na domenach. Ustawienia WF można konfigurować z linii poleceń poprzez interfejs netsh. Windows Firewall obsługuje jednocześnie sieci oparte na IPv4 oraz sieci wykorzystujące IPv6.
Funkcjonalność Windows Firewall rozszerzają o takie zmiany, jak wprowadzenie w Windows XP Service Pack 2 dodatkowych możliwości kontroli uruchamiania DCOM oraz nawiązywanie połączeń RPC (Remote Procedure Call) poprzez definicję odpowiednich kluczy w rejestrze systemu.
Poczta i WWW
Oprócz Windows Firewall, Windows XP Service Pack 2 wprowadza kilka zmian związanych z bezpieczeństwem i prywatnością korzystania z Internetu poprzez programy Internet Explorer i Outlook Express.
Tym, co od razu rzuca się w oczy w konfiguracji Outlook Express, jest opcja automatycznego konwertowania przesyłek HTML na czysty tekst jeszcze przed zaprezentowaniem jej użytkownikowi. Taka możliwość istniała dotąd tylko w Outlooku. Wszelkie podstępne skrypty osadzane w kodzie HTML stają się w ten sposób niegroźnym tekstem. Dla osób, które jednak zdecydują się na przeglądanie wiadomości w formacie HTML, może być przydatna nowa funkcja Don't Download External HTML Content. Pozwala ona na zablokowanie pobierania z sieci obiektów, do których łącza zostały umieszczone w przesyłce.
W przeglądarce Internet Explorer pojawił się od dawna oczekiwany mechanizm blokowania okienek pop-up. To ukłon w stronę użytkowników, których irytują wszechobecne okienka reklamowe, ale również zabezpieczenie przed różnymi realizowanymi w ten sposób przekierowaniami na strony o podejrzanych treściach. Opcja ta jest łatwo dostępna i konfigurowalna przez użytkownika, pozwalając na określenie wyjątków dla witryn, na których okienka pop-up są dozwolone.
Druga nowość to mechanizm łatwego zarządzania instalowanymi i uruchamianymi dodatkami do IE, np. kontrolkami ActiveX. Takiego narzędzia brakowało. Dzięki niemu można szybko się zorientować, jakie dodatki zostały zainstalowane w systemie i czy niektóre z nich nie znalazły się w nim bez naszej wiedzy. Jeżeli kontrolka ActiveX jest niepożądana, możliwość jej uruchamiania można zablokować jednym kliknięciem.
Dzięki Service Pack 2 w Windows XP pojawiają się również nowe opcje konfiguracji zabezpieczeń przeglądarki Internet Explorer. Zaznaczenie opcji allow automatic prompting for file and code download spowoduje, że przed pobraniem z Internetu plików lub potencjalnie niebezpiecznego kodu/skryptu przeglądarka zawsze wyświetli ostrzeżenie. Warto ją włączyć zwłaszcza dla stref niezaufanych. Druga opcja - allow windows to be opened without security restrictions - to pierwszy kandydat do natychmiastowego wyłączenia.
Na koniec...
Przy wylogowaniu się z systemu, w którym został zaaplikowany SP2, czeka nas jeszcze jedna niespodzianka. Standardowe opcje zakończenia pracy systemu wzbogacono w jeszcze jedną opcję o samotłumaczącej się nazwie install updates and shutdown - dzięki niej możemy przed wyłączeniem naszego systemu zainstalować oczekujące uaktualnienia.
Windows XP Service Pack 2 wprowadza do systemu wiele zmian niewidocznych dla użytkownika. Szczególnie ważna jest ochrona przez wykonywaniem kodu po nadpisaniu bufora. Nie jest ona bezpośrednio widoczna dla użytkownika, jednak to ona właśnie stanowi najważniejsze udoskonalenie, jakie znalazło się w SP2. Dzięki niej bezpieczeństwo działania systemów XP w sieci znacznie się poprawia. Niestety, aby z niej skorzystać, trzeba zakupić komputery z najnowszymi procesorami AMD lub Intela.
Dla dociekliwych
Opisane funkcje stanowią to, co użytkownik napotyka w pierwszym spotkaniu z systemem i może skorzystać z nich bezpośrednio, jeszcze przed zapoznaniem się z dokładnym opisem wszystkich. Pełny opis zmian wprowadzonych w systemie przez Windows XP SP2 istotnych z punktu widzenia programisty można znaleźć w artykule pt. Windows XP Service Pack 2 - Security Information for Developers ( http://msdn.microsoft.com/security/productinfo/xpsp2/default.aspx ).
Tomasz Onyszko jest konsultantem m.in. w firmie SecuRing i jednym z ośmiu w Polsce tzw. Microsoft Most Valuable Professional (MVP).
<hr size=1 noshade>Dodatkowe informacje o Windows XP SP2
Miejsce, z którego można pobrać wersję Beta 2 SP2
Poradnik instalacyjno-konfiguracyjny
Poradnik dla programisty
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnwxp/html/securityinxpsp2.asp
