Архивы: по дате | по разделам | по авторам

Сервис заказывали?

Архив
автор : Серж Скаут   22.09.2004

После выхода долгожданного Service Pack 2 для Windows XP минуло уже достаточно времени, чтобы ажиотаж и суета, вызванные желанием — наконец-то! — как можно скорее заполучить Самую Свежую Windows, пошли на убыль.

После выхода долгожданного Service Pack 2 для Windows XP минуло уже достаточно времени, чтобы ажиотаж и суета, вызванные желанием — наконец-то! — как можно скорее заполучить Самую Свежую Windows, пошли на убыль. Настало время разбираться с теми нововведениями, которые вошли в жизнь вашего компьютера вместе со вторым сервис-паком. Тем более что, согласно последней информации от Microsoft, выход Longhorn — следующей версии Windows — ожидается, дай бог, через пару лет. К тому же не все ранее заявленные функции будут включены в ее первый релиз: так, к примеру, революционно новая файловая система WinFS появится «как-нибудь в другой раз», да и ядро Longhorn будет основано на коде Windows Server 2003 Service Pack 1 (www.compulenta.ru/2004/8/30/49575).

Таким образом, Windows XP SP2 становится той самой операционной системой, с которой большинству пользователей придется сосуществовать ближайшие несколько лет — если, конечно, завтра не появится какой-нибудь чудесный-расчудесный user-friendly Linux или же Apple не портирует Mac OS X на PC. Или не прилетят инопланетяне и не подарят нам новую операционку — что гораздо вероятнее.

Посему давайте-ка это майкрософтовское нововведение «разъясним». О, сколько нам открытий чудных готовит сервис-пака старт!

Скока вешать в метрах?

Как мы уже писали, при обновлении системы «штатными» средствами, с помощью автоматического обновления или узла Windows Update, придется скачать от 80 до 90 Мбайт данных. Насколько рационален такой подход — решать вам, ведь при каждой переустановке системы эти самые мегабайты придется качать заново. Для тех, кто больше доверяет своим рукам и отдельным exe-файлам, существует вариант установочного архива объемом около 270 Мбайт, который можно либо скачать с сайта Microsoft, либо заказать на компакт-диске. С ним можно обновлять сколько угодно компьютеров и как угодно часто, более того — приложив к нему руки, можно самостоятельно создать загрузочный компакт-диск Windows XP с уже интегрированным вторым сервис-паком. Но перед тем, как его скачивать, нужно разобраться: какой язык сервис-пака выбрать для закачивания и установки.

Твоя моя понимай

Перед теми, кто «по привычке» пользуется англоязычной версией Windows XP, проблема выбора не стоит: разумеется, скачивать и устанавливать нужно английскую версию. А вот пользователям русской версии — точнее, версии Windows XP с русским интерфейсом — нужно быть внимательнее. Дело в том, что получить «русскоязычную» Windows XP можно двумя путями: либо установкой изначально русской ОС, либо же использованием англоязычной версии Windows XP с последующей инсталляцией MUI — специального пакета, локализующего интерфейс операционной системы (установщики MUI, разумеется, бывают не только русскоязычными). В первом случае вам нужен русский сервис-пак (файл WindowsXP-KB835935-SP2-RUS.exe весом 266375 Кбайт), во втором — необходимо скачивать и устанавливать оригинальную английскую версию сервис-пака (WindowsXP-KB835935-SP2-ENU.exe, 272391 Кбайт).

Если вы не знаете, какой из вариантов установлен на вашем компьютере, то можете проверить это, открыв панель управления «Язык и региональные стандарты»: в системах, локализованных путем установки MUI, на закладке «Языки» появляется выпадающее меню «Язык, используемый в меню и диалогах» (рис. 1), отсутствующее в изначально русскоязычных операционках.

Несмотря на то что английский сервис-пак наотрез отказывается устанавливаться на русскую операционную систему, при его инсталляции поверх Windows XP, русифицированной с применением MUI, вас ждет сюрприз: практически все новые компоненты системы будут иметь русскоязычный интерфейс!

Следует отметить и то, что в уже существовавшую локализацию также были внесены изменения: многие служебные сообщения «переведены» с программистского на человеческий язык. Например, на смену старому сообщению «Скоростное USB-устройство подключено к медленному концентратору…», вводившему в ступор не одного начинающего пользователя, пришло простое и понятное «Это устройство может работать быстрее» (рис. 2). Вообще, интерфейс системы после установки сервис-пака становится гораздо более дружественным: и язык русский, и иконки посимпатичнее…

Безопасность превыше всего?

Впрочем, главная задача второго сервис-пака — вовсе не услаждение глаз пользователя новыми иконками и надписями, а латание многочисленных дыр и изменение концепции управления безопасностью компьютера с целью снижения риска вирусных атак и несанкционированного доступа. Как мы уже писали, наиболее заметным (в прямом смысле слова) новшеством стал «Центр обеспечения безопасности» (рис. 3), буквально бросающийся в глаза сразу после перезагрузки компьютера со свежеустановленным сервис-паком. Однако если копнуть глубже, то как раз в самом «Центре» ничего важного-то и нет — это всего лишь информационная панель управления, показывающая состояние разнообразных компонентов «активной безопасности» компьютера (брандмауэра, антивируса и системы автоматического обновления), извещающая о проблемах с каким-либо из этих компонентов и позволяющая получить доступ к их настройкам. Самое забавное, что в «Центре» уже обнаружена уязвимость, позволяющая злоумышленнику… подделать информацию о статусе работы компонентов безопасности. Она хранится в базе данных, доступ к которой открыт любым приложениям — в том числе и модулям ActiveX, — и может быть изменена незаметно для пользователя. Таким образом, «Центр безопасности» может клясться в том, что на страже системы стоят антивирус и брандмауэр, а на самом деле эти компоненты будут выключены «засланным казачком». Несомненно, вероятность подобного происшествия весьма мала и в большинстве случаев пользователь самостоятельно должен запустить программу-«вредителя», но все же доверять «Центру безопасности» на все сто, увы, нельзя.

Брандмауэр с одним окном

Брандмауэр Windows Firewall, устанавливаемый вторым сервис-паком, по сравнению со своим предшественником Internet Connection Firewall (ICF) стал «круче на порядок», хотя по-прежнему не дотягивает по функциональности до программ сторонних разработчиков, среди которых, кстати, есть и бесплатные (в частности, от Agnitum и Kerio). Например, брандмауэр Windows блокирует только входящие подключения.

В предыдущей версии между загрузкой операционной системы и началом работы брандмауэра существовал временной лаг, вызванный ожиданием применения локальных политик пользователя — пока они не загружались, ICF не работал, что позволяло «пропихнуть» пакетик-другой без фильтрации. Новая версия имеет специальную загрузочную политику, позволяющую брандмауэру рвать с места в карьер, а затем, по мере надобности, подгружать локальные политики и на их основе изменять параметры своей работы.

Второе новшество — глобальные политики фильтрации сетевых соединений. Если предыдущая версия настраивала фильтры для каждого соединения по-своему, то нынешняя «фильтрует базар» на основе общих правил, вне зависимости от того, через какое подключение идет соединение. Несомненно, возможность настраивать индивидуальные свойства брандмауэра для отдельных подключений сохранилась, но применение групповой политики позволяет быть уверенным, что любое новое соединение будет защищено как минимум не хуже уже существующих.

Введено ограничение входящего трафика по отдельным портам — можно либо полностью открыть порт для входящего трафика, либо ограничить его локальной сетью или списком адресов (рис. 4). Кроме того, к режимам работы брандмауэра, помимо банальных «Включено» и «Выключено», добавился режим «Включено без всяких исключений», блокирующий любой входящий трафик. Этот режим рекомендован к использованию в «небезопасных» местах — например, при подключении к открытым для общего доступа беспроводным сетям.

Добавились, наконец, панель управления, позволяющая гибко настраивать брандмауэр (рис. 5), и множество объектов групповых политик для конфигурирования всех возможных параметров Windows Firewall с помощью редактора политик (рис. 6).

 

Недеяние — путь к нирване

Еще одним шагом к совершенствованию безопасности компьютера стала технология предотвращения выполнения данных (DEP), служащая, по большому счету, для борьбы с Великим и Ужасным переполнением буфера. Принцип работы этой основной «лазейки» вирусописателей и троянских коневодов в том, что программа запускается из областей памяти, отведенных для Windows и других приложений, потом занимает области памяти, которые используются другим приложением, и в конце концов начинает распространяться в системе.

Существуют два варианта борьбы с этой напастью: аппаратный и программный. В первом случае процессор компьютера помечает области памяти для данных и запрещает запускать оттуда программный код. Приложение, попытавшееся это сделать, принудительно блокируется и закрывается, что не позволяет вызвать переполнение буфера данных и запустить вредоносный программный код. Но поскольку большинство существующих процессоров не поддерживает этот режим (Соответственно, уделять ей место в этой статье мы не будем: вряд ли у большинства наших читателей найдутся системы с аппаратной поддержкой DEP; тех же, у кого найдутся, отошлю к подробнейшему разбору этой функции в библиотеке MSDN), Microsoft разработала его программную симуляцию, позволяющую предотвратить выполнение кода данных на любом компьютере с установленным Service Pack 2.

В отличие от брандмауэра или антивирусного программного обеспечения функция DEP не препятствует установке потенциально опасных программ на компьютере, а только следит за тем, как программы используют память. По умолчанию после установки Service Pack 2 функция DEP включена для основных программ и служб Windows, но существует четыре варианта ее настройки (см. табл.).

Первые два доступны через панель управления «Система» (вкладка «Дополнительно»/раздел «Быстродействие»/кнопка «Параметры»/закладка «Предотвращение выполнения данных», рис. 7), однако для полного включения или выключения DEP придется отредактировать файл boot.ini, добавив в разделе [operating systems] в конец строки …\WINDOWS=”Microsoft Windows XP Professional” /fastdetect ключ /NoExecute с одной из опций:

NoExecute =OptIn (Так написано в официальных документах Microsoft, однако на своем опыте я убедился, что того же эффекта можно добиться, добавив ключ /NoExecute вообще без всяких опций)
NoExecute =OptOut
NoExecute =AlwaysOn
NoExecute =AlwaysOff

Для чего может понадобиться отключение функции DEP в отношении отдельных программ или системы в целом? К сожалению, многие программы и драйверы (среди них такие известные приложения, как Norton CleanSweep, Paint Shop Pro 8 и др.) написаны так, что вызывают ее срабатывание, а это всегда ведет к принудительному завершению программы (любопытно, что при определенных условиях срабатывание DEP вызывает завершение работы даже «Центра справки и поддержки» Windows XP). Для устранения подобных проблем Microsoft рекомендует выбрать режим OptOut и добавить эти программы в список исключений. Но! Программа-то обычно состоит не из одного исполняемого модуля, а из многих динамических библиотек, и нет никакой гарантии, что вам удастся точно определить, какие из них вызывают срабатывание DEP. А если и удастся — добавлять ручками каждую «застуканную на месте преступления» библиотеку может оказаться утомительным. Кроме того, если по умолчанию функция DEP следит только за системными службами и процессами, то при переключении в режим OptOut ее действие распространится на все процессы, запущенные в системе, за вычетом тех, которые добавлены в список исключений, — а значит, это может вызвать принудительное закрытие какой-нибудь другой программы… В этом случае, возможно, проще будет отключить DEP целиком путем редактирования boot.ini. Увы, программное обеспечение несовершенно, и эта полезная функция может пока оказаться преждевременной — хотя, если вы не страдаете от настырности DEP, лучше все же оставить ее включенной. Спокойнее будет.

Йе-е-е!

Не обошли стороной «безопасные» нововведения и Internet Explorer. Однако при их несомненной полезности в деле борьбы с разнообразной сетевой шпаной, которая изобретает все новые и новые изощренные методы проникновения в чужой компьютер через создание веб-страниц, начиненных активным содержимым, пролезающим в любую известную дырку Internet Explorer, первое впечатление может быть скорее раздражающим. Допустим, открываете вы «Справку» какой-нибудь программы — того же Adobe Photoshop, скажем. Многие производители софта (и Adobe в их числе) в последние годы создают справочные файлы в формате html, и открываются они, соответственно, с помощью IE. Так вот: вместо справки вы получите уведомление системы безопасности об ограничении отображения активного содержимого текущим файлом. А содержимое-то у справки о-го-го какое активное! Тому же поиску нужно ведь по всем файликам пробежаться, чтобы найти интересующие вас темы, а IE ему не дает. И на экране вы видите совсем не то, что задумывали разработчики страницы, и при каждом переходе сообщение об активном содержимом все появляется и появляется, противно побулькивая и страшно надоедая (рис. 8).

К счастью, сие поведение можно пресечь установкой галочки в параметрах безопасности IE — «Разрешать запуск активного содержимого файлов на моем компьютере» (рис. 9). Аналогичная галочка, установленная напротив активного содержимого компакт-дисков, позволит вам увидеть оболочку CD, сделанную с применением веб-технологий, именно такой, какой ее задумал дизайнер, без ограничений, накладываемых системой безопасности.

Превосходно реализована блокировка всплывающих окон — тут и добавить нечего. В отличие от других программ, которые либо препятствуют появлению всех всплывающих окон, даже полезных, либо, напротив, «всех пропускают», IE позволяет выбрать степень блокировки (рис. 10). При настройках по умолчанию блокируются все окна, открывающиеся автоматически или в фоновом режиме, и пропускаются окна, открываемые пользовательским щелчком по ссылке. При желании можно вообще запретить появление новых окон, кроме случая, когда пользователь щелкает по ссылке с нажатым Ctrl. Правила блокировки не распространяются на сайты, находящиеся в зонах безопасности «Местная интрасеть» и «Надежные узлы», а также на сайты, добавленные пользователем в «белый список». Заблокировав окно, IE сообщает вам об этом и дает возможность либо временно отключить функцию блокировки для данного сайта, либо добавить его в «белый список». Но безо всяких вопросов блокируются так пугавшие неопытных пользователей и так любимые «порнодельцами» (Под этим термином я подразумеваю всех веб-мастеров, пользующихся так называемыми «порнотехнологиями» при разработке и раскрутке сайтов) окна, открывающиеся шире десктопа или за его пределами.

Другая полезная новинка — менеджер подключаемых модулей, позволяющий просмотреть как все установленные, так и запущенные в текущий момент «штепсели» (plug-ins) к IE (рис. 11), при необходимости обновить их или же заблокировать к чертовой бабушке. Это еще один удар по «порнодельцам», использовавшим неопытность юзера для установки в своих корыстных целях гаденьких программулечек — к примеру, постоянно подменяющих адрес стартовой страницы адресом какого-нибудь «клубничного» ресурса. Помимо прочего, оный менеджер в случае зависания браузера позволяет определить и покарать виновного, а также дает возможность регулировать загрузку дополнительных модулей из Сети, проверяя их от первого до последнего бита. Важный нюанс: отключенные надстройки не будут использоваться только IE и Windows Explorer; любой другой программе, основанной на движке IE, будет глубоко наплевать на установки менеджера модулей.

Вообще говоря, в обеспечении безопасности браузера столько нового, что разработчики даже изменили его код USER AGENT, добавив в него буквосочетание SV1 (Security Version 1). Теперь браузер с установленным пакетом обновлений рапортует о себе как Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1…). Полный же список изменений с их подробным описанием занимает 69 страниц и доступен в разделе «Download» сайта Microsoft. Прямая ссылка отличается повышенной неудобовбиваемостью (Но кто захочет — наберет: www.go.microsoft.com/fwlink/?LinkId=28022), но желающие могут воспользоваться поиском, указав в качестве искомого файл WinXPSP2_Documentation.zip, в котором, помимо браузерных, собраны полные описания всех нововведений второго сервис-пака. Предупреждаю сразу: чтиво увлекательное, но о-очень объемное!

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.