SP2 dla Windows XP

Niedawno pojawił się Service Pack 2 dla Windows XP, który ma zapewniać większe bezpieczeństwo temu systemowi operacyjnemu. Sprawdźmy, czy jest tak rzeczywiście.

Niedawno pojawił się Service Pack 2 dla Windows XP, który ma zapewniać większe bezpieczeństwo temu systemowi operacyjnemu. Sprawdźmy, czy jest tak rzeczywiście.

XP SP2 zawiera nową zaporę ogniową, mechanizmy ochrony wykonywania aplikacji - nowy komponent systemu zarządzania związany z bezpieczeństwem i modyfikacje związane z bezpieczeństwem, a dotyczące przeglądarki i mechanizmów poczty elektronicznej XP.

Prosta zapora

Zapora ogniowa z XP SP2 jest okrojonym mechanizmem filtrowania pakietów z ograniczonymi możliwościami konfigurowania i rejestrowania zdarzeń. Pakiet zapewnia nowy mechanizm ochrony wykonywania aplikacji, który - jeśli zostanie poprawnie skonfigurowany i wsparty odpowiednim sprzętem - powinien blokować ataki wykorzystujące bufory danych do wykonywania szkodliwych kodów.

Modyfikacje przeglądarki powinny chronić przed atakami co najmniej niektórych typów szkodliwej zawartości webowej, ponieważ domyślnie blokują okienka pop-up. Mechanizm używany do przetwarzania załączników poczty elektronicznej także został zmodyfikowany, tak aby zapobiegał niekontrolowanemu uruchamianiu programów, które pomagają rozprzestrzeniać się wirusom.

Zapora ogniowa jest jednak, jak na dzisiejsze standardy, niewymyślna. Pozwala prowadzić dziennik zdarzeń jedynie w postaci pliku tekstowego na kliencie, który na dodatek nie może być podmieniany (okresowa zmiana pliku logu jest podstawową praktyką ochronną) bez zamknięcia zapory. Reguły zapory ogniowej pozwalają na wybranie portów wejściowych, ale nie oferują żadnych kolejnych poziomów, takich jak dopuszczenie połączeń ze specyficznych adresów IP.

Microsoft zapewnia, że można centralnie zarządzać ustawieniami zapory, ale okazuje się, że w Service Pack nie ma żadnego mechanizmu, który by to umożliwiał, takiego jak integracja ze standardowym dziennikiem zdarzeń Windows czy środki dostarczania powiadomień do centralnego pliku syslog na serwerze Windows.

64-bitowy horyzont

Service Pack 2 dla Windows XP

Service Pack 2 dla Windows XP

Zamiast blokowania specyficznych form wykonywalnych lub wywołań API Service Pack zapewnia blokowanie używania pamięci danych do wykonywania kodu. W założeniu powinno to chronić przed dużą liczbą zagrożeń, ponieważ wiele dzisiejszych ataków opiera się na przeciążaniu lub przepełnianiu bufora danych lub innych schematach, które wykonują kod umieszczany w pamięci przeznaczonej na dane. Pełna obsługa tego mechanizmu wymagać będzie systemu opartego na procesorach 64-bitowych, które zawierają odpowiedni mechanizm ochrony pamięci.

W XP SP2 brak jest specyficznych możliwości wykrywania wtargnięć lub zapobiegania takim incydentom (IDS i IPS), chociaż wiele z mechanizmów bezpieczeństwa tego pakietu ma blokować wtargnięcia na zasadzie efektu ubocznego. Między innymi zapora ma blokować wchodzące połączenia sieciowe, których atakujący mógłby użyć dla różnego rodzaju wtargnięć. Nie zapewnia ona takich samych mechanizmów jak niezależne produkty ochrony klienta, ale spełnia ogólne wymagania zapewniania odporności klienta na ataki.

Lepsza ochrona z pewnym "ale"

Generalna ocena zespołu testowego sprowadzała się do dwóch kwestii: "czy oferuje on odpowiednią ochronę" i "czy zawiera jakiekolwiek słabe punkty".

Odpowiedź brzmi: tak, pakiet oferuje ochronę, ale w celu uzyskania większych możliwości kontroli dostępu i bardziej użytecznych narzędzi raportowania należy skorzystać z oferty dostawców niezależnych. Zmiany w przeglądarce, chociaż poprawiają ogólne bezpieczeństwo, mogą utrudniać korzystanie z legalnych witryn WWW odwiedzanych regularnie, tak więc mogą być niewygodne w użytkowaniu.

Mechanizm ochrony wykonywania kodu ma potencjalnie duże możliwości, ale wymagania sprzętowe prawdopodobnie będą ograniczać jego użyteczność (nie jest jasne, jak dużą wartość ma wariant programowy), a niektóre firmy mogą mieć problemy z kompatybilnością sterowników.

Nowe ryzyko

XP SP2 wnosi też pewne nowe zagrożenie. Zapora ogniowa jest kontrolowana przez proste API, które można wykorzystać do przeprowadzenia ataku. Oznacza to, że zamknięcie zapory ogniowej może być teraz potencjalnym celem ataku. Raportowanie w nowych mechanizmach bezpieczeństwa ma poważne luki, które powinny być sprawdzone, takie jak brak centralnego rejestrowania zdarzeń i brak rejestracji wszystkich zdarzeń związanych z blokowaniem okienek pop-up. Jeżeli ochrona wykonywania aplikacji może dotyczyć sterowników urządzeń, które wykonują złożone operacje dostępu do pamięci, to istnieje niebezpieczeństwo wykorzystania tego do powodowania błędów systemu dopóty, dopóki sprawy kompatybilności nie zostaną rozwiązane.

Service Pack 2 dla Windows XP

Zalety: zintegrowana zapora ogniowa polepsza ochronę sieci; zmiany w przeglądarce i przetwarzaniu załączników poczty elektronicznej pomagają zablokować niepożądane formy wykonalne; ulepszona ochrona przez wykorzystanie znanych luk.

Wady: zapora ogniowa nie integruje się dobrze w środowiskach sieci przedsiębiorstw; ograniczenia w mechanizmach ochrony pamięci mogą stwarzać fałszywy obraz możliwości ochrony buforów danych; problemy z kompatybilnością sterowników.


TOP 200