SP2 dla Windows XP
- NetWorld,
- 01.11.2004
Niedawno pojawił się Service Pack 2 dla Windows XP, który ma zapewniać większe bezpieczeństwo temu systemowi operacyjnemu. Sprawdźmy, czy jest tak rzeczywiście.
Niedawno pojawił się Service Pack 2 dla Windows XP, który ma zapewniać większe bezpieczeństwo temu systemowi operacyjnemu. Sprawdźmy, czy jest tak rzeczywiście.
XP SP2 zawiera nową zaporę ogniową, mechanizmy ochrony wykonywania aplikacji - nowy komponent systemu zarządzania związany z bezpieczeństwem i modyfikacje związane z bezpieczeństwem, a dotyczące przeglądarki i mechanizmów poczty elektronicznej XP.
Prosta zapora
Modyfikacje przeglądarki powinny chronić przed atakami co najmniej niektórych typów szkodliwej zawartości webowej, ponieważ domyślnie blokują okienka pop-up. Mechanizm używany do przetwarzania załączników poczty elektronicznej także został zmodyfikowany, tak aby zapobiegał niekontrolowanemu uruchamianiu programów, które pomagają rozprzestrzeniać się wirusom.
Zapora ogniowa jest jednak, jak na dzisiejsze standardy, niewymyślna. Pozwala prowadzić dziennik zdarzeń jedynie w postaci pliku tekstowego na kliencie, który na dodatek nie może być podmieniany (okresowa zmiana pliku logu jest podstawową praktyką ochronną) bez zamknięcia zapory. Reguły zapory ogniowej pozwalają na wybranie portów wejściowych, ale nie oferują żadnych kolejnych poziomów, takich jak dopuszczenie połączeń ze specyficznych adresów IP.
Microsoft zapewnia, że można centralnie zarządzać ustawieniami zapory, ale okazuje się, że w Service Pack nie ma żadnego mechanizmu, który by to umożliwiał, takiego jak integracja ze standardowym dziennikiem zdarzeń Windows czy środki dostarczania powiadomień do centralnego pliku syslog na serwerze Windows.
64-bitowy horyzont
Service Pack 2 dla Windows XP
W XP SP2 brak jest specyficznych możliwości wykrywania wtargnięć lub zapobiegania takim incydentom (IDS i IPS), chociaż wiele z mechanizmów bezpieczeństwa tego pakietu ma blokować wtargnięcia na zasadzie efektu ubocznego. Między innymi zapora ma blokować wchodzące połączenia sieciowe, których atakujący mógłby użyć dla różnego rodzaju wtargnięć. Nie zapewnia ona takich samych mechanizmów jak niezależne produkty ochrony klienta, ale spełnia ogólne wymagania zapewniania odporności klienta na ataki.
Lepsza ochrona z pewnym "ale"
Generalna ocena zespołu testowego sprowadzała się do dwóch kwestii: "czy oferuje on odpowiednią ochronę" i "czy zawiera jakiekolwiek słabe punkty".
Odpowiedź brzmi: tak, pakiet oferuje ochronę, ale w celu uzyskania większych możliwości kontroli dostępu i bardziej użytecznych narzędzi raportowania należy skorzystać z oferty dostawców niezależnych. Zmiany w przeglądarce, chociaż poprawiają ogólne bezpieczeństwo, mogą utrudniać korzystanie z legalnych witryn WWW odwiedzanych regularnie, tak więc mogą być niewygodne w użytkowaniu.
Mechanizm ochrony wykonywania kodu ma potencjalnie duże możliwości, ale wymagania sprzętowe prawdopodobnie będą ograniczać jego użyteczność (nie jest jasne, jak dużą wartość ma wariant programowy), a niektóre firmy mogą mieć problemy z kompatybilnością sterowników.
Nowe ryzyko
XP SP2 wnosi też pewne nowe zagrożenie. Zapora ogniowa jest kontrolowana przez proste API, które można wykorzystać do przeprowadzenia ataku. Oznacza to, że zamknięcie zapory ogniowej może być teraz potencjalnym celem ataku. Raportowanie w nowych mechanizmach bezpieczeństwa ma poważne luki, które powinny być sprawdzone, takie jak brak centralnego rejestrowania zdarzeń i brak rejestracji wszystkich zdarzeń związanych z blokowaniem okienek pop-up. Jeżeli ochrona wykonywania aplikacji może dotyczyć sterowników urządzeń, które wykonują złożone operacje dostępu do pamięci, to istnieje niebezpieczeństwo wykorzystania tego do powodowania błędów systemu dopóty, dopóki sprawy kompatybilności nie zostaną rozwiązane.
Zalety: zintegrowana zapora ogniowa polepsza ochronę sieci; zmiany w przeglądarce i przetwarzaniu załączników poczty elektronicznej pomagają zablokować niepożądane formy wykonalne; ulepszona ochrona przez wykorzystanie znanych luk.
Wady: zapora ogniowa nie integruje się dobrze w środowiskach sieci przedsiębiorstw; ograniczenia w mechanizmach ochrony pamięci mogą stwarzać fałszywy obraz możliwości ochrony buforów danych; problemy z kompatybilnością sterowników.