天氣預報
2004-06-28, 03:39 PM
WinXP SP2安全功能大躍進--但有代價
John McCormick.唐慧文譯 2004/06/28
概述
Windows XP SP2(第二版更新服務包)的發布象徵作業系統生命歷程的一大里程碑。微軟使出渾身解數加強安全性,但也因此而產生諸多問題,因為SP2為安全起見,不再那麼強調與舊式系統和軟體的回溯相容性。系統管理人員必須事先了解,SP2會為內部網路中的Windows XP系統帶來什麼樣的影響。
--------------------------------------------------------------------------------
本文資料乃根據Windows XP Service Pack 2 RC1(第一號發布候選者)所作的評析。該軟體正式發布時可能略有修改,但本文談到的內容大體上仍適用。
--------------------------------------------------------------------------------
細節
Windows XP SP2會大幅改善XP幾乎各方面的安全性預設環境,從電子郵件到網頁瀏覽乃至於防護常見的緩衝區溢滿(buffer overrun)問題皆然。但要引進這種種安全改良功能,免不了得忍受一些不小的麻煩。ZDNetUK最近報導,微軟承認,每十種應用程式中,就會有一種因為SP2更新而發生問題(我個人認為這是保守的估計)。
以下是XP SP2一些最重要的安全設定改變:
「網際網路連線防火牆」(ICF)如今的預設值為開啟,對蘇活族(SOHO)用戶而言應可改善安全性,但在企業環境下,卻可能為設法連上網路資源的使用者造成困擾。防火牆如今在開機順序上也比以往大幅挪前,排序甚至在網路堆疊(network stack)啟動之先。關機時,防火牆會一直保持開啟狀態,直到網路堆疊解除之後。
Messenger服務如今預設為解除狀態。
彈出式廣告攔截工具預設為開啟。
新增統籌控管安全性的應用程式,稱為「Windows安全中心」(Windows Security Center)。這項功能的用意是把最基本的安全設定資料全部集中在同一處,以便管理。防火牆是否開啟、防毒軟體是否正常運作,乃至於最新更新版軟體安裝與否,都一目瞭然。
把NX支援納入Windows XP。NX的全名是「no execute」(不執行),其作用在允許支援NX的中央處理單元(CPU)把某些記憶體區域標註為不得執行(non-executable)。換句話說,任何闖入那些區域的程式碼,像疾風病毒(Blaster)這類惡意程式,都只能呆坐在那兒不准動,因而被剝奪破壞能力。此功能將強化Windows XP作業系統對抗惡名昭彰的緩衝區溢滿威脅。NX目前只支援超微(AMD)K8處理器及英特爾Itanium處理器,但未來推出的大多數32和64位元處理器皆可望支援此安全功能。
分散式元件物件模型(DCOM)須遵循一套新的限制,即任何元件物件模型(COM)伺服器的每個動作,幾乎都受制於存取控制清單(access control list)。另提供更詳細的一套COM授權選項,讓系統管理員能更精確調整COM許可政策。
改良的通訊埠管理(port management)。不再把關閉通訊埠的任務交由應用程式結束後去執行。以往,如果程式設計師省略關閉的例行程序,或應用程式當掉,可能任通訊埠開著,導致XP易遭外來攻擊。SP2為鼓勵加強通訊埠管理,提供一份應用程式優良名單,只許具有管理員權限的使用者更改。把某應用程式(比方說點對點程式)列入優良名單,則准許通訊埠自動管理。這類應用程式今後亦可視為通訊埠的經常使用者,無須管理員權限即可在ICF開啟通訊埠。
新的遠端程序呼叫(RPC)限制協助嚴加控管通訊狀況。XP SP2這方面的改良讓系統管理員微調RPC服務。這種精細的RPC控制讓使用者指定以某一通訊埠做RPC,即便該應用程式不在優良名單上也行。RPC的相關改變很多,包括新的「RestrictRemoteClients」登錄鑰(registry key),在預設狀態下即阻擋大多數試圖匿名存取系統RPC介面的遠端連線,但不會全面堵死。RPC介面限制要求RPC呼叫端進行身分認證,這使得對介面發動攻擊的難度提高,有助於緩和木馬程式(Trojan)型攻擊。
潛在問題
從安全性的立場觀之,前文所提的NX防護不啻是強有力的改良範例。但之前已有報導指出,NX會造成相當多的問題(至少就64位元的版本而言)。最大的問題發生在執行以及時編碼(just-in-time code creation)所寫的應用程式。另一方面,.NET架構通用語言執行時程式碼(.NET Framework common language runtime code)已支援SP2所採用的NX技術。
RPC相關改變可能最與既有的應用程式格格不入。在SP2之前安裝的Windows XP應用程式中,已有多達數十種使用RPC服務,全都開啟攻擊者趁虛而入的窗口。但隨著SP2問世,情況完全改觀。
基於通訊埠管理方式的改變,倘若某應用程式需開啟通訊埠,但並未使用過濾器,執行安裝的系統管理員必須把該程式置於優良名單上。內建的防火牆預設為開啟,但MSN或Windows Messenger這類IPv4(網際網路協定第四版)應用程式為了由外而內建立影音媒體存取連線,需要利用通訊埠開/關自動管理功能。由外內傳的服務連線(IPv4),也需要額外調整and/or設定。只聽固定通訊埠發號施令的服務,應徵詢使用者容不容許在ICF環境下開啟通訊埠,若獲得許可,該服務應使用INetFwV4OpenPort應用程式介面(API)來更改ICF規定。
另一個問題是,微軟不對盜版的Windows XP提供SP2增補服務。這聽起來滿合理的,但安裝違法版本的使用者眾多,在遠東地區尤然,而此地正是許多蠕蟲快速在網際網路蔓延的跳板。SP2會檢查產品序號以搜尋已知的盜版版本,如果發現系統上的產品序號是已被列入黑名單者,就不會進行安裝。這是可以理解的,但也會降低這波安全功能升級的整體效果。
另有許多SP2衍生的潛在問題是管理員控制不了的,例如,一些訂製應用程式的程式設計碼都必須重寫。但至少,現在你已心知肚明,一旦問題冒出來,該從何處檢查起,而不是在部署XP SP2之後,才發現最重要的應用程式大多被SP2給封殺了。
http://taiwan.cnet.com/enterprise/technology/0,2000062852,20090451,00.htm
John McCormick.唐慧文譯 2004/06/28
概述
Windows XP SP2(第二版更新服務包)的發布象徵作業系統生命歷程的一大里程碑。微軟使出渾身解數加強安全性,但也因此而產生諸多問題,因為SP2為安全起見,不再那麼強調與舊式系統和軟體的回溯相容性。系統管理人員必須事先了解,SP2會為內部網路中的Windows XP系統帶來什麼樣的影響。
--------------------------------------------------------------------------------
本文資料乃根據Windows XP Service Pack 2 RC1(第一號發布候選者)所作的評析。該軟體正式發布時可能略有修改,但本文談到的內容大體上仍適用。
--------------------------------------------------------------------------------
細節
Windows XP SP2會大幅改善XP幾乎各方面的安全性預設環境,從電子郵件到網頁瀏覽乃至於防護常見的緩衝區溢滿(buffer overrun)問題皆然。但要引進這種種安全改良功能,免不了得忍受一些不小的麻煩。ZDNetUK最近報導,微軟承認,每十種應用程式中,就會有一種因為SP2更新而發生問題(我個人認為這是保守的估計)。
以下是XP SP2一些最重要的安全設定改變:
「網際網路連線防火牆」(ICF)如今的預設值為開啟,對蘇活族(SOHO)用戶而言應可改善安全性,但在企業環境下,卻可能為設法連上網路資源的使用者造成困擾。防火牆如今在開機順序上也比以往大幅挪前,排序甚至在網路堆疊(network stack)啟動之先。關機時,防火牆會一直保持開啟狀態,直到網路堆疊解除之後。
Messenger服務如今預設為解除狀態。
彈出式廣告攔截工具預設為開啟。
新增統籌控管安全性的應用程式,稱為「Windows安全中心」(Windows Security Center)。這項功能的用意是把最基本的安全設定資料全部集中在同一處,以便管理。防火牆是否開啟、防毒軟體是否正常運作,乃至於最新更新版軟體安裝與否,都一目瞭然。
把NX支援納入Windows XP。NX的全名是「no execute」(不執行),其作用在允許支援NX的中央處理單元(CPU)把某些記憶體區域標註為不得執行(non-executable)。換句話說,任何闖入那些區域的程式碼,像疾風病毒(Blaster)這類惡意程式,都只能呆坐在那兒不准動,因而被剝奪破壞能力。此功能將強化Windows XP作業系統對抗惡名昭彰的緩衝區溢滿威脅。NX目前只支援超微(AMD)K8處理器及英特爾Itanium處理器,但未來推出的大多數32和64位元處理器皆可望支援此安全功能。
分散式元件物件模型(DCOM)須遵循一套新的限制,即任何元件物件模型(COM)伺服器的每個動作,幾乎都受制於存取控制清單(access control list)。另提供更詳細的一套COM授權選項,讓系統管理員能更精確調整COM許可政策。
改良的通訊埠管理(port management)。不再把關閉通訊埠的任務交由應用程式結束後去執行。以往,如果程式設計師省略關閉的例行程序,或應用程式當掉,可能任通訊埠開著,導致XP易遭外來攻擊。SP2為鼓勵加強通訊埠管理,提供一份應用程式優良名單,只許具有管理員權限的使用者更改。把某應用程式(比方說點對點程式)列入優良名單,則准許通訊埠自動管理。這類應用程式今後亦可視為通訊埠的經常使用者,無須管理員權限即可在ICF開啟通訊埠。
新的遠端程序呼叫(RPC)限制協助嚴加控管通訊狀況。XP SP2這方面的改良讓系統管理員微調RPC服務。這種精細的RPC控制讓使用者指定以某一通訊埠做RPC,即便該應用程式不在優良名單上也行。RPC的相關改變很多,包括新的「RestrictRemoteClients」登錄鑰(registry key),在預設狀態下即阻擋大多數試圖匿名存取系統RPC介面的遠端連線,但不會全面堵死。RPC介面限制要求RPC呼叫端進行身分認證,這使得對介面發動攻擊的難度提高,有助於緩和木馬程式(Trojan)型攻擊。
潛在問題
從安全性的立場觀之,前文所提的NX防護不啻是強有力的改良範例。但之前已有報導指出,NX會造成相當多的問題(至少就64位元的版本而言)。最大的問題發生在執行以及時編碼(just-in-time code creation)所寫的應用程式。另一方面,.NET架構通用語言執行時程式碼(.NET Framework common language runtime code)已支援SP2所採用的NX技術。
RPC相關改變可能最與既有的應用程式格格不入。在SP2之前安裝的Windows XP應用程式中,已有多達數十種使用RPC服務,全都開啟攻擊者趁虛而入的窗口。但隨著SP2問世,情況完全改觀。
基於通訊埠管理方式的改變,倘若某應用程式需開啟通訊埠,但並未使用過濾器,執行安裝的系統管理員必須把該程式置於優良名單上。內建的防火牆預設為開啟,但MSN或Windows Messenger這類IPv4(網際網路協定第四版)應用程式為了由外而內建立影音媒體存取連線,需要利用通訊埠開/關自動管理功能。由外內傳的服務連線(IPv4),也需要額外調整and/or設定。只聽固定通訊埠發號施令的服務,應徵詢使用者容不容許在ICF環境下開啟通訊埠,若獲得許可,該服務應使用INetFwV4OpenPort應用程式介面(API)來更改ICF規定。
另一個問題是,微軟不對盜版的Windows XP提供SP2增補服務。這聽起來滿合理的,但安裝違法版本的使用者眾多,在遠東地區尤然,而此地正是許多蠕蟲快速在網際網路蔓延的跳板。SP2會檢查產品序號以搜尋已知的盜版版本,如果發現系統上的產品序號是已被列入黑名單者,就不會進行安裝。這是可以理解的,但也會降低這波安全功能升級的整體效果。
另有許多SP2衍生的潛在問題是管理員控制不了的,例如,一些訂製應用程式的程式設計碼都必須重寫。但至少,現在你已心知肚明,一旦問題冒出來,該從何處檢查起,而不是在部署XP SP2之後,才發現最重要的應用程式大多被SP2給封殺了。
http://taiwan.cnet.com/enterprise/technology/0,2000062852,20090451,00.htm