Оглавление
Введение
Следующая крупная версия Windows пока скрыта за горизонтом, но снежный ком проблем безопасности необходимо решать уже сегодня. Windows XP с правильной конфигурацией и новейшими "заплатами" безопасности довольно надежно защищена от опасностей, исходящих из Интернета, но многие машины XP настроены некорректно и не располагают последними обновлениями.
С выходом Longhorn, следующей крупной версии Windows, ситуация должна улучшиться, но никто не может ждать так долго. В качестве промежуточного решения Microsoft выпустила пакет исправлений Windows XP Service Pack 2 (SP2), акцент в котором сделан на безопасность.
SP2 предназначен для улучшения различных аспектов безопасности. Первоначально предполагалось по умолчанию активизировать загрузку обновлений, чтобы как можно больше пользователей инсталлировали важные заплаты. Но оказалось, что это незаконно в некоторых странах. Вместо этого, пользователям придется выбирать режим "включено" или "выключено" в процессе инсталляции (или, как мы предполагаем, при первой загрузке машин с заранее инсталлированным пакетом SP2).
В настоящее время автоматически инсталлируются только критически важные "заплаты" для Windows; в SP2 будут автоматически устанавливаться как наиболее важные из них, так и "заплаты" безопасности для Windows и некоторых прикладных программ Microsoft. Если процесс загрузки прерван, то работа службы Windows Update возобновится с места прерывания. Если в момент завершения работы компьютера "заплаты" загружены, но не инсталлированы, то Windows предложит сначала инсталлировать их, а затем закрыть систему.
С помощью нового центра безопасности Security Center можно увидеть важную информацию о безопасности. Если возникает проблема, то пиктограмма на системной панели становится красной или желтой, если появляются новые "заплаты". При двойном щелчке на пиктограмме на экране открывается окно Security Center, в котором отражен текущий статус безопасности в трех областях: Firewall (брандмауэр), Automatic Updates (автоматическое обновление) и Virus Protection (защита от вирусов). Во время подготовки статьи окончательный список программ был неизвестен, но SP2 будет вести мониторинг некоторых антивирусных программ и брандмауэров сторонних поставщиков и предупреждать пользователей, если они отключены или устарели. Security Center также располагает прямыми ссылками для конфигурирования службы Automatic Updates, Internet Options (Свойства обозревателя) и Windows Firewall.
Многие меры, принятые для повышения безопасности SP2, скрыты от глаз пользователя. Пакет обеспечивает более полный контроль над такими коммуникационными протоколами, как RPC (Remote Procedure Call - вызов удаленных процедур), DCOM (Distributed Common Object Model - распределенная модель составных объектов) и WebDAV (Web-based Distributed Authoring and Versioning - распределенный механизм авторства и отслеживания версий на базе Web). Операционная система защищена от переполнений буфера, используемых авторами многих "троянских коней". Функция Local Zone Lockdown предотвращает попытки "троянских коней" воспользоваться смягченными ограничениями для программ, запускаемых на локальных машинах.
Эти меры не отразятся на повседневной работе, но важны для поддержания безопасности. Переходим к подробному знакомству с тремя областями, в которых новшества SP2 очевидны: Windows Firewall, Internet Explorer и Outlook Express.
Windows Firewall
Если бы все пользователи Windows XP активизировали брандмауэр Internet Connection Firewall (ICF), то они были бы неуязвимы для таких червей, как Nimda, Blaster и Sasser. Но ICF был отключен по умолчанию, поэтому многие пользователи просто не замечали его. Кроме того, если пользователи активизировали его, то ICF блокировал нужные операции, например обращения к общему сетевому принтеру. Получить к нему доступ могли лишь пользователи, квалификация которых была достаточной, чтобы вручную открыть соответствующие порты.
Этот неудачный опыт послужил уроком для Microsoft: в SP2 на смену ICF пришел Windows Firewall, который значительно проще в настройке и эксплуатации и лучше защищает компьютер. Windows Firewall активизирован по умолчанию. Компьютер защищен с момента начальной загрузки. В процессе начальной загрузки брандмауэр отслеживает сетевой трафик, анализируя состояние пакетов (Stateful Packet Inspection, SPI), проверяя каждый входящий пакет данных на соответствие исходящим запросам. Если входящий пакет не соответствует запросу, то Windows Firewall блокирует его.
После инициализации системы простая политика этапа начальной загрузки заменяется политикой этапа выполнения, в соответствии с которой разрешается входящий трафик через определенные порты и для конкретных программ.
ICF был скрыт на последней вкладке диалогового окна Properties (Свойства) для каждого сетевого соединения, а состояние Windows Firewall мы видим незамедлительно в Security Center. Если брандмауэр не активизирован, то пиктограмма Security Center на системной панели становится красной. Пользователи могут обратиться к странице конфигурирования Windows Firewall непосредственно из Security Center. Параметры Windows Firewall действительны для всех сетевых соединений.
Полная изоляция ПК брандмауэром обеспечивает абсолютную защиту, но при этом будут блокированы совместное использование файлов и принтеров, диалоговый обмен сообщениями, дистанционный доступ и другие полезные функции. Windows Firewall автоматически предлагает разрешить совместное использование файлов и принтеров по умолчанию в рамках локальной сети. В диалоговом окне настройки конфигурации предусмотрено и несколько других типичных исключений.
Пользователи могут открыть определенные порты, разрешив входящие (незапрошенные) пакеты для любой программы, или открыть программе неограниченный доступ к входящему трафику по всем портам. Невозможно включить оба режима одновременно - нельзя ограничить доступ конкретной программы к входящему трафику только определенными портами, но область действия каждого исключения можно ограничить только локальной сетью или списком доверенных IP-адресов.
Функция программных исключений отличается от "программного контроля" (program control), реализованного в персональных брандмауэрах независимых поставщиков, таких, как Norton Internet Security (NIS) и ZoneAlarm Security Suite. Эти продукты также запрещают неизвестным программам передавать трафик в Интернет; в Windows Firewall этого не сделано. Но при первой попытке несанкционированной программы открыться для приема входящих пакетов Windows Firewall выдает предупреждение, похожее на сообщения NIS и ZoneAlarm. Пользователи могут разблокировать программу, блокировать ее без дальнейших предупреждений либо не изменяя статуса "первой попытки".
Корпоративные администраторы могут настроить Windows Firewall для всего предприятия, используя новые параметры групповой политики (Group Policy), и ограничить возможность отдельных пользователей изменять эти параметры. Имеется два различных профиля: доменный профиль для компьютеров, связанных с корпоративной сетью, и стандартный профиль (обычно более строгий) для компьютеров, устанавливающих соединение из-за пределов корпоративной сети (например, ноутбука сотрудника, уехавшего в командировку). Кроме того, пользователи, находящиеся в пути, могут установить флажок, чтобы временно отменить все исключения, сохранив параметры. Например, можно запретить совместный доступ к файлам и Remote Desktop при подключении к незащищенной общедоступной сети и легко восстановить их после возвращения в офис.
Фирма Microsoft реализовала программный интерфейс для Windows Firewall, через который прикладная программа может, например, присвоить параметру FirewallEnabled значение FALSE, ввести свои данные в список санкционированных программ (AuthorizedApplications) или изменить конфигурацию глобально открытых портов (GloballyOpenPorts). Беспокоит, что вредная программа может отключить Windows Firewall или, что более вероятно, присвоить себе статус санкционированной программы. Корпоративные администраторы могут блокировать некоторые или все локальные конфигурации, запретив программам вносить изменения; но все же, настаивают представители Microsoft, пользователи должны знать программы, с которыми они работают. Даже самый надежный замок не защитит от грабителей, которых вы сами пустили в дом.
Windows Firewall значительно совершеннее ICF, но и он не обеспечивает такого уровня защиты, как брандмауэры независимых поставщиков, даже бесплатные. Он не помешает вредным программам связываться с Интернетом. Если программа пытается открыть порт, то Windows Firewall не подскажет пользователю, можно ли разрешить это действие, и не известит пользователя о попытках несанкционированного доступа. Мы все же рекомендуем активизировать Windows Firewall, но только до тех пор, пока не инсталлирован персональный брандмауэр другого поставщика. Те же, кто не прислушается к этому совету (или никогда не услышит его), будут за брандмауэром Windows XP SP2 в гораздо большей безопасности, чем до сих пор.
Internet Explorer
Современным предприятиям и домашним пользователям не обойтись без доступа в Интернет, но при этом открываются возможности для проникновения шпионских программ, вирусов, всплывающей рекламы и других вредных программ. Меры безопасности, принятые в версии Internet Explorer, поставляемой вместе с Windows XP SP2 (номер версии по-прежнему 6), помогут бороться с угрозами без особых усилий со стороны пользователя.
Чтобы не докучать людям предупреждениями об опасностях, в IE вместо всплывающего окна сообщений, требующего отклика пользователя, появилась новая информационная панель. Информационная панель располагается в верхней части текущей страницы, непосредственно под самой нижней инструментальной линейкой. При первом появлении панели IE обращает на нее внимание пользователя. В ней выводятся сообщения о блокированных средствами IE сценариях и автоматических загрузках, а также всплывающих окнах, подавляемых новым встроенным блокировщиком. Пользователи могут щелкнуть на информационной панели, чтобы вызвать меню действий, соответствующих конкретному предупреждению.
Например, из меню блокировки всплывающих окон можно увидеть окно, разрешить показ окон с текущего сайта или настроить приемлемый, но не выдающийся блокировщик всплывающих окон. Удобно то, что предупреждения отображаются в информационной панели, и у пользователей не возникнет соблазна понизить уровень защиты, чтобы избежать раздражающих предупреждений. В любом случае они не смогут снизить уровень защиты ниже рекомендуемого минимума.
Новое диалоговое окно Manage Add-ons - единый центр для просмотра и управления всеми модулями расширения IE, в том числе элементов управления ActiveX, объектов Browser Helper Object, инструментальных панелей и других расширений браузера. Приводятся имя, тип и издатель каждого модуля расширения, а также текущее состояние (активен или отключен) и некоторые статистические данные об использовании. Пользователи могут без труда отключить любые ненужные модули или отыскать обновленные версии.
Здесь же отображаются модули расширения с цифровыми сигнатурами, отключенные из-за недоверия к издателю. Неподписанные модули расширения без данных об издателе всегда запрещены, поэтому увидеть их нельзя. При блокировании из этого диалогового окна модуль лишь отмечается флажком и не загружается браузером. Альтернативные браузеры, такие, как Browse3D и MyIE2, в которых используется элемент управления IE WebBrowser, придется модернизировать с учетом этого параметра, иначе в эти программы будут загружаться любые модули расширения.
Корпоративные администраторы могут взять на себя управление модулями расширения, совершенно отстранив конечных пользователей или подготовив список разрешенных и запрещенных модулей. И наконец, фирма Microsoft признала, что некорректный модуль расширения может полностью дестабилизировать браузер. В случае сбоя браузера из-за модуля расширения модуль будет идентифицирован и пользователь получит предложение отключить его.
Когда IE запрашивает пользователя, следует ли инсталлировать конкретный элемент управления ActiveX, появляется ссылка на информацию об издателе и цифровой сертификат. Помимо знакомого варианта "всегда доверять этому издателю", теперь пользователи могут выбрать "никогда не доверять ему".
IE из пакета SP2 предотвращает некоторые нападения, в ходе которых взломщик маскирует тип файла, на который указывает ссылка. Согласно новым требованиям, тип, определяемый расширением файла, должен совпадать с типом контента в источнике HTTP. Кроме того, для проверки сигнатур, идентифицирующих конкретные типы файлов в заголовке файла, используется метод, именуемый в фирме Microsoft "анализом MIME" (MIME sniffing). Например, EXE-файлы начинаются с символов MZ, а растровые файлы - с символов BM. Если данные в файле не соответствуют заявленному типу файла, то он отвергается браузером.
Зловредные сайты часто генерируют с помощью сценариев окна определенных типов, которые пользователю трудно закрыть (и даже обнаружить их присутствие). Верхняя часть окна может находиться вне экрана, в результате чего меню и инструментальные панели оказываются недоступными. Окно может находиться целиком вне экрана и быть настроено так, что нажатие пользователя на клавишу приведет к загрузке вредного файла. Могут исчезнуть даже некоторые части интерфейса IE. Для борьбы с такими нападениями в SP2 окна, генерируемые сценариями, принудительно отображаются на экране полностью, и предотвращается удаление важных фрагментов пользовательского интерфейса.
Злоумышленники, готовящие шпионские и иные вредные программы, наверняка найдут другие способы нападений, но, по крайней мере, их старые приемы уже не будут иметь эффекта.
Outlook Express
В настоящее время входной почтовый ящик стал опасным местом. Поверив составленному в искренних выражениях посланию, можно запустить опасный присоединенный файл. А в момент предварительного просмотра другого сообщения может быть похищена личная информация. Outlook Express поставляется бесплатно вместе с операционной системой, поэтому большая доля пользователей отдает предпочтение этому почтовому клиенту. Outlook Express из состава SP2 обеспечивает значительно более надежную защиту от опасных вложений и кражи личной информации.
Некоторые рекламодатели могут связать собранную в Web информацию о вас с вашим почтовым адресом. (Информация доступна им через куки-файлы, которые обычно не содержат личных данных, если вы сами не сообщили их на Web-узел.) Делается это с помощью изображения под названием Web-"клоп" (Web bug) в почтовом сообщении HTML. Чтобы отобразить HTML-сообщение, клиент электронной почты должен запросить с сервера изображение Web-"клопа". Изменения в URL изображения позволяют серверу связать вашу историю перемещений по Web и другие данные с адресом электронной почты. В более простом варианте злоумышленник выясняет, что почтовый адрес активен и по нему можно направлять спам.
Чтобы блокировать Web-"клопов", в новом OE загрузка картинок и другого внешнего контента HTML по умолчанию запрещена, как в Outlook 2003. Над текстом сообщения появляется небольшая информационная линейка с предупреждением о блокированных картинках и предложением показать их, если вы уверены в безопасности источника.
Чтобы снизить риск, исходящий от вредных HTML-сообщений электронной почты, многие пользователи предпочитают просматривать все сообщения как простой текст. Но прошлые версии OE располагали функцией HTML-просмотра для текста, поэтому существовала теоретическая возможность запуска его на выполнение. Вместо нее в SP2 используется функция Rich Text, поэтому вред исключается. Если вы уверены в безопасности сообщения, можно просмотреть его как текст в полноценном HTML-формате.
Фирма Microsoft планировала настроить OE на запуск всех присоединенных файлов с минимальными полномочиями, чтобы избежать ущерба от вредных посланий. Но компания отказалась от этого плана, так как в противном случае слишком многие корпоративные системы и продукты, требующие запуска вложенных файлов из внутренних почтовых сообщений, столкнулись бы с проблемами.
Однако в новой службе Attachment Manager появились широкие возможности для запрета опасных вложений. Загруженный файл изменяется и помечается с использованием вторичного потока данных (метод действует только с NTFS, предпочтительной файловой системой для Windows XP). Отметка сохраняется при копировании файла. Файлы внутри вложенного ZIP-архива маркируются в момент извлечения ZIP-утилитой, совместимой с Attachment Manager. В результате старый трюк с переименованием файлов EXE в TXT для пересылки по электронной почте невозможен.
Целеустремленный пользователь может открыть свойства файла и щелкнуть на кнопке Unblock (если администратор не заблокировал эту функцию), но единственный надежный известный нам способ запуска небезопасных присоединенных файлов OE - скопировать его на диск с файловой системой, отличной от NTFS.
Рекомендации
С выходом SP2 мы не стали неуязвимыми для нападений, но пакет несет в себе значительное улучшение многих компонентов ОС и необходим каждому пользователю. Процесс применения "заплат" стал более эффективным, брандмауэр - надежнее и проще в использовании, появились блокировщик всплывающих окон и несколько других улучшений, в том числе во внутренних механизмах.
К сожалению, защита весьма громоздка. В зависимости от числа ранее установленных на машине "заплат", размер загрузочного модуля SP2 может составлять от 100 до 300 Мбайт. Это явно слишком много для пользователей коммутируемых соединений и достаточно для того, чтобы многие отказались от пакета, что очень, очень плохо. Однако потребители могут заказать CD, поставки которого должны начаться примерно в одно время с рассылкой пакета через службу Windows Update.