Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Лучшие статьи журнала


Информационный Канал Subscribe.Ru

Здравствуйте, уважаемые читатели!

В этом выпуске рассылки публикуется статья, занявшая по результатам голосования третье место.


Владимир БЕЗМАЛЫЙ,  ep_big@comizdat.com

Windows XP SP2: Что день грядущий нам готовит?

6 августа компания Microsoft завершила работу над вторым сервис-паком для Windows XP

Пожалуй, ни одно из обновлений операционных систем семейства Microsoft Windows не вызывало столько шума, как второй пакет исправлений (Service Pack 2, или сокращенно SP2) к Windows XP.

Ко всем операционным системам семейства Windows NT такие пакеты исправлений Microsoft выпускает примерно раз в год. Так было с Windows NT 4 (было выпущено 6 пакетов, последний имеет индекс 6a) и с Windows 2000 (сейчас выпущено 4 пакета). Первый пакет исправлений к Windows XP был выпущен в сентябре 2002 г. Microsoft несколько раз откладывала выпуск второго пакета исправлений, ссылаясь на кардинальные изменения, которым будет подвергнута система. Наконец, в августе 2004 года Microsoft выпускает Service Pack 2 для Windows XP.

Процедура выпуска стала уже стандартной: сначала (6 августа) информация об этом была разослана подписчикам MSDN (Microsoft Developer Network) и производителям компьютеров, 9 августа информацию разместили на сайте для IT-профессионалов Microsoft TechNet. 11 августа Microsoft размещает информацию о новом пакете исправлений на заглавной странице своего сайта.

Собственно установка пакета исправлений на компьютеры пользователей1 начнется позже. Рассылка компакт–диска с пакетом обновлений уже начата2. В данный момент уже доступна для скачивания его русская редакция (полная версия, объемом около 270 Мб).

Общее описание

Главная особенность второго сервис-пака — новые средства обеспечения безопасности Windows. Это отражено и в названии пакета обновлений — полностью оно звучит как «Microsoft Windows XP Service Pack 2 with Advanced Security Technologies», что в вольном переводе на русский значит «сервис-пак с передовыми технологиями безопасности».

В Microsoft постарались сделать максимум возможного, чтобы обеспечить защиту компьютеров от разного рода атак. Насколько это удалось, станет ясно после широкого распространения сервис-пака. Пока же можно сказать только, что количество вопросов к Windows XP SP2 не уменьшается.

Ключевым нововведением станет Центр безопасности. К элементам безопасности в Microsoft относят брандмауэр, систему автоматических обновлений и антивирусные программы. Если первые два элемента содержатся в самой операционной системе Windows XP, то антивирусное программное обеспечение поступает от сторонних фирм-производителей.

На брандмауэре стоит остановиться отдельно. Если ранее управление ним сводилось, по сути, к двум функциям (включено/выключено), то сейчас на настройку отведено целое окно с тремя вкладками, которые позволяют не только включать-выключать брандмауэр, но и указывать исключения фильтрации трафика, а также проводить тонкую настройку межсетевого экрана.

Windows Firewall

Однако стоит упомянуть об особенностях брандмауэра (Windows Firewall, старое название — ICF) от Microsoft.

По умолчанию WF работает в режиме максимальной безопасности. Принцип его работы таков: запросы приложений выпускаются вовне, а извне принимаются только пакеты, пришедшие в ответ на эти запросы (соответствие запрос-ответ явно ведется в виде динамической таблицы). Таким образом, при сканировании портов на компьютере с включенным WF нет ни одного открытого порта (это логично — пакеты сканера портов не будут пропущены, так как их никто не запрашивал). Аналогично обстоят дела с различного рода атаками, основанными на отправке нестандартных пакетов.

К недостаткам Windows Firewall следует отнести полное отсутствие визуализации происходящих процессов. Единственный способ контроля — текстовый протокол, который пишется в указанный файл на диске3.

Internet Explorer

Не менее важные изменения коснулись и программы Internet Explorer. В первую очередь надо отметить наконец-то появившийся блокировщик всплывающих окон. Все-таки подобное средство давно уже используется в таких браузерах, как Opera и Mozilla.

Далее, в Internet Explorer появился менеджер настроек. С его помощью можно просмотреть перечень настроек и модулей ActiveX, установленных в системе и при необходимости отключить их. Это нововведение позволяет контролировать процесс установки различных расширений, под которые с легкостью маскируется шпионское программное обеспечение.

Для вывода сообщений о заблокированных окнах и устанавливаемых расширениях используется специальная панель Information Bar.

Помимо управления дополнительными модулями, Internet Explorer 6 SP2 будет вести еще и мониторинг загрузки файлов, выявляя потенциально опасное содержимое.

Outlook Express

Если вы используете Outlook Express — почтовую программу, идущую в составе Windows XP,— обратите внимание: после установки Windows XP SP2 некоторые параметры настройки изменятся. Новые параметры по умолчанию разработаны с тем, чтобы защитить компьютер от вирусов и червей, а также уменьшить количество получаемого спама.

Кроме того…

Стоит упомянуть и о появившейся технологии No Execute (NX). Путем запрещения выполнения кода, который находится в разделе памяти для данных, NX позволяет предотвратить ошибки переполнения, часто используемые хакерами. К сожалению, преимущества этой технологии доступны лишь для пользователей 64-разрядных процессоров: Intel Xeon на ядре Nocona и AMD Opteron и Athlon 64.

Наконец, сервис-пак включает улучшенную поддержку протокола Bluetooth, включающую, в том числе, и повышенные меры безопасности.

Полная версия сервис-пака занимает целых 266 Мб. Для защиты одного компьютера вряд ли стоит ее скачивать. Microsoft готовит к выходу пакет меньшего размера, который будет доступен через функцию Автоматическое обновление.

Однако, говоря о Windows XP SP2, стоит упомянуть и проблемы, которые могут возникнуть после установки данного обновления. Например, из-за постоянно включенного брандмауэра могут не работать некоторые сетевые службы — хотя это, скорее всего, можно устранить с помощью тонкой настройки брандмауэра. Могут возникнуть проблемы с интернет-приложениями, активно использующими ActiveX.

Установка

Рекомендуемый способ обновления системы это предоставить системе автоматического обновления возможность скачать пакет с сайта Microsoft4. Во-первых, это надежно: вы установите именно те файлы, которые выпущены Microsoft. Во-вторых, такой способ позволяет сэкономить на объеме закачиваемой информации: скачать и установить нужно лишь те файлы, которые нужны для конкретно взятой системы.

Если же вы собираетесь обновлять несколько компьютеров, имеет смысл скачать полный пакет исправлений (размер которого составляет 270 Мб). Можно также создать пакет установки Windows XP с интегрированным Service Pack 25 и записать его на CD: при помощи полученного диска вы сможете обновить ОС на компьютере с уже установленной Windows XP или установить Windows XP SP2 на компьютер без Windows XP. Этот метод удобен потому, что после инсталляции системы не будет необходимости в отдельной установке пакета обновлений.

Процедура установки практически не требует вмешательства пользователя. Единственное отличие от обычной процедуры заключается в том, что система запросит имя папки, куда будет сохранена информация для возможной отмены установки второго пакета обновлений. При этом в процессе инсталляции проверяется наличие свободного места (см. таблица 1).

Таблица 1. Объем свободного места на жестком диске, необходимый для установки пакета обновления 2 (SP2)

  В случае установки из общей сетевой папки В случае установки с компакт-диска
Пакет обновления 495 Мб для пакета обновления 495 Мб для пакета обновления и 500 Мб для файлов, которые хранятся в папке %Windir%\Servicepackfiles
Рабочее пространство1 260 Мб 260 Мб
Файлы, необходимые для удаления пакета обновления 2 (SP2)2 200 Мб 200 Мб
Общий объем дискового пространства, если включена программа восстановления системы 895 Мб (максимально необходимое пространство в процессе установки — 1060 Мб) 1455 Мб (максимально необходимое пространство в процессе установки — 1560 Мб)
Общий объем дискового пространства, если программа восстановления системы выключена 681 Мб (максимально необходимое пространство в процессе установки — 1100 Мб)  

1 Пространство на жестком диске, необходимое файлам, которые используются только в процессе установки. Это пространство занимается временно и не учитывается при подсчете общего объема установленных файлов.

2 Пространство, которое используется для хранения файлов и параметров, измененных при установке пакета обновления. В процессе установки пакета обновления можно автоматически создавать резервные копии файлов, которые понадобятся, если пакет обновления будет удален.

Кроме того, требуется 30 Мб свободного места в основном системном разделе6.

По окончанию установки происходит перезагрузка, после чего на экране появится диалог, который предложит включить автоматическую загрузку обновлений.

Централизованный контроль над безопасностью компьютера

Безопасность компьютера с точки зрения Microsoft основывается на следующих объектах:

  1. Firewall (межсетевой экран, брандмауэр).
  2. Регулярные обновления системы, установка последних исправлений, отвечающих за безопасность системы.
  3. Постоянно работающий антивирусный монитор с регулярно обновляемыми вирусными базами.

Эти правила пропагандируются Microsoft уже около двух лет. Кроме того, во время вирусных эпидемий ссылки на этот сайт размещались на сайте обновления системы Windows Update. Microsoft называет Windows XP SP2 только первым шагом к архитектуре Trustworthy Computing (концепции защищенных информационных систем).

В Панели управления создан отдельный раздел: Центр обеспечения безопасности Windows, откуда можно будет управлять Брандмауэром (файрволом), Автоматическими обновлениями, Защитой от вирусов и Свойствами обозревателя (браузера Internet Explorer).

За состоянием безопасности системы наблюдает специальный мастер (Wizard), который поднимает тревогу при отсутствии любого из компонентов подсистемы безопасности. Множество пользователей тут же захочет отключить эти оповещения, как ранее отключали оповещение о малом количестве свободного места на жестком диске. Вряд ли это хорошо — лучше уж правильно настроить систему, и тогда оповещения будут только помогать вам. Впрочем, если вы не согласны, скажу, что отключить оповещения можно через окно Изменить способ оповещений Центром обеспечения безопасности Windows.

Настройка Internet Explorer

Расширения защиты Microsoft Internet Explorer обеспечивают улучшенную защиту против злонамеренного кода в интернете и, кроме того, обеспечивают расширения интерфейса, делающие защиту конфигурирования проще для администраторов и конечных пользователей. Новая информационная панель объединяет многие из диалоговых окон использования Internet Explorer, предоставляя пользователям информацию в более доступном виде. Internet Explorer теперь включает встроенный блокировщик всплывающих окон. К тому же, к зонам безопасности, доступным в Internet Explorer, добавлено несколько параметров настройки.

Новые особенности Internet Explorer

Когда пользователь использует Internet Explorer, чтобы загрузить файл, в диалоговом окне отображается следующая информация:

  • добавлен значок программы обработки файлов;
  • к основанию диалогового окна, которое показывает, имеет ли загруженный файл более высокий или низкий риск, добавлена новая информационная область;
  • все исполняемые файлы, которые загружаются, проверяются на наличие подписи издателя. Это предотвращает загрузку исполняемых файлов, которые получены от подозрительных или неопознанных издателей.

После загрузки исполняемого файла Internet Explorer отображает информацию издателя файла. Диалоговое окно Authenticode представляет эту информацию пользователю — и тот принимает решение о выполнении файла. Исполняемый файл, который не включает сигнатуру издателя, имеет недопустимого издателя, или файл, чей издатель был блокирован администратором систем, не получит разрешения выполниться на компьютере. Можно открыть издателя, используя команду Manage Add-Ons в Internet Explorer.

Outlook Express Email Attachment Prompt

Использует те же процедуры, что и загрузка файла. Исполняемые файлы проверяются с помощью подписи издателя — и исполняемый файл, который не включает сигнатуру издателя, имеет недопустимого издателя или издателя, который был блокирован администратором систем, выполняться не будет.

Add-On Install Prompt

Add-On Install Prompt Internet Explorer добавляет ту же информацию, что и в предыдущих двух разделах. Это дает возможность пользователям точно знать, какие дополнения они включают в Internet Explorer, и принимать информированное решение об их использовании.

Add-on Management and Crash Detection

Add-on Management and Crash Detection Internet Explorer позволяет пользователям рассматривать и управлять списком дополнений, которые могут быть загружены Internet Explorer. Кроме того, может быть показано присутствие некоторых дополнений, которые ранее было трудно обнаружить и которые могли бы обеспечить нежелательные функциональные возможности или представляли бы опасность для защиты.

В число таких дополнений входят:

  • объекты Browser Help;
  • элементы управления ActiveX;
  • расширения инструментальной панели;
  • расширения браузера.

Дополнения могут быть установлены из разных мест и несколькими способами, включая:

  • загрузку и инсталляцию при просмотре веб-страниц;
  • инсталляцию пользователем посредством исполняемой программы;
  • инсталляцию как предустановленных компонентов операционной системы;
  • инсталляцию в качестве предустановленных дополнений к операционной системе.

Панель информации Internet Explorer

Панель информации Internet Explorer — это новый компонент пользовательского интерфейса, который появился в Windows XP с пакетом обновления 2 (SP2). Она отображается между панелью инструментов и окном содержимого Internet Explorer, когда происходит блокирование потенциально опасного действия на веб-странице и внешне походит на область уведомлений в Outlook 2003 (в области уведомлений располагаются сведения о блокированном содержимом).

Панель информации Internet Explorer в составе Windows XP с пакетом обновления 2 (SP2) заменяет большое количество стандартных диалоговых окон с запросом и, кроме того, служит для отображения сведений, которые необходимы пользователю для выполнения определенных действий. Так, уведомления на панели инструментов появляются в случае блокирования всплывающих окон, загрузки элементов управления ActiveX, файлов и активного содержимого7.

Внешне и по выполняемым функциям панель информации напоминает область уведомлений о блокировании данных в Outlook 2003. Когда появляется уведомление, панель информации отображается между панелью инструментов и окном содержимого Internet Explorer, а затем снова исчезает после перехода на другую веб-страницу. Текст на панели информации зависит от текущего уведомления и в случае превышения размеров панели разбивается на две строки. Вот пример стандартного уведомления на панели информации: Текущая настройка безопасности запрещает использование элементов управления ActiveX на данной странице. Эта страница может отображаться неправильно. Чтобы переместить фокус в окне обозревателя на панель информации, нажмите клавишу <Tab>.

Если щелкнуть панель информации правой или левой кнопкой мыши, появится меню, содержание которого зависит от текущего уведомления, однако в нем всегда имеется команда Справка панели информации для вызова подробных сведений об уведомлении. Команды, доступ к которым запрещен администратором, выделены серым цветом.

Появление панели информации может сопровождаться звуковым сигналом (этот параметр включен по умолчанию). Когда появляется панель информации, в строке состояния вместо уведомления Ошибка на странице отображается значок доверия Windows.

В некоторых случаях одновременно может блокироваться более одного действия, например появление всплывающего окна и установка надстройки. При этом текст на панели информации будет иметь более общий характер, а меню будет содержать названия блокированных действий. Каждому действию сопоставляется отдельное подменю.

Пользователь может самостоятельно настраивать параметры безопасности для панели информации. Кроме того, попытки загрузить файл или программный код могут отображаться не на панели информации, а с помощью менее заметного уведомления (такая возможность была реализована в составе пакета обновления 1 (SP1) для Windows XP).

Функции панели информации

Запрос на установку надстроек

В Windows XP с пакетом обновления 1 (SP1) при обращении веб-страницы к элементу управления ActiveX, который в этот момент не установлен, появляется предложение загрузить данный элемент. В Windows XP с пакетом обновления 2 (SP2) такой запрос отображается на панели информации (текст, появляющийся в этой ситуации, а также доступные пользователю действия представлены в таблице 2).

Таблица 2

Элемент панели информации Содержание
Текст на панели информации «Чтобы помочь обеспечению безопасности, Internet Explorer остановил установку элементов управления ActiveX на компьютер. Щелкните здесь для выбора параметров»
Краткий текст «Установка заблокирована»
Команды меню
  • Установить
  • Факторы риска

Уведомление о блокировании всплывающих окон

В случае блокирования всплывающего окна на панели информации в Windows XP с SP2 появляется соответствующее уведомление. С панели информации доступны функции средства Блокирование всплывающих окон — например, можно открыть всплывающее окно, добавить веб-узел в список разрешенных или перейти к настройке параметров блокирования. Кроме того, есть возможность отменить появление панели информации в случае блокирования всплывающего окна. Текст, который появляется в этой ситуации на панели информации, а также доступные пользователю действия представлены в таблице 3.

Таблица 3

Элемент панели информации Содержание
Текст на панели информации «Всплывающее окно заблокировано. Чтобы просмотреть это всплывающее окно или другие возможности, щелкните здесь»
Краткий текст «Всплывающее окно заблокировано»
Команды меню
  • Показать последнее всплывающее окно
  • Разрешить всплывающие окна от этого узла
  • Разрешить всплывающие окна
  • Отображать панель информации для всплывающих окон
  • Параметры всплывающего окна

Автоматическая загрузка

В Windows XP с пакетом обновления 2 на панели информации отображаются уведомления об автоматически начатой загрузке файла.

Панель информации в этом случае содержит описание причин выполнения действия, а также контекстное меню. Текст, появляющийся на панели, а также доступные пользователю действия представлены в таблице 4.

Таблица 4

Элемент панели информации Содержание
Текст на панели информации «Чтобы помочь обеспечению безопасности, Internet Explorer заблокировал загрузку файлов на компьютер с этого веб-узла. Щелкните здесь для выбора параметров»
Краткий текст «Заблокированная загрузка файлов»
Команды меню
  • Загрузить
  • Факторы риска?

Уведомление о блокировании активного содержимого

В Windows XP SP2 на панели информации отображаются уведомления о блокировании запуска активного содержимого в зоне безопасности Мой компьютер.

Панель информации в этом случае содержит описание причин выполнения действия и, кроме того, контекстно-зависимое меню. Текст, который появляется на панели информации, а также доступные пользователю действия представлены в таблице 5.

Таблица 5

Элемент панели информации Содержание
Текст на панели информации «Чтобы помочь обеспечению безопасности, Internet Explorer ограничил отображение активного содержимого, могущего получить доступ к компьютеру, этим файлом. Щелкните здесь для выбора параметров»
Краткий текст «Заблокированное активное содержимое»
Команды меню
  • Разрешить заблокированное содержимое
  • Факторы риска?

Блокирование элемента управления ActiveX

В Windows XP с пакетом обновления 2 сообщение Элемент ActiveX заблокирован из-за параметров безопасности не отображается, а соответствующее уведомление появляется на панели информации Internet Explorer.

Панель информации в этом случае содержит описание причин выполнения действия, а также контекстно-зависимое меню. Текст, выводящийся на панель информации, и доступные пользователю действия — в таблице 6.

Таблица 6

Элемент панели информации Содержание
Текст на панели информации «Параметры безопасности не позволяют запускать элементы управления ActiveX на этой странице. Страница может отображаться неправильно. Щелкните здесь для выбора параметров»
Краткий текст «Заблокированное программное обеспечение»
Команды меню
  • Разрешить запуск элементов управления ActiveX на этом узле
  • Факторы риска?

Блокирование всплывающих окон

Блокирование всплывающих окон включено по умолчанию. Есть ограничения на размер и позицию всплывающих окон, независимо от установки Pop-up Blocker — окна Pop-up не могут быть большими, чем просматриваемая настольная область, и, кроме того, не могут быть открыты вне ее.

Однако окна, открытые пользователем, все еще будут открываться обычным способом. Обратите внимание, что на сайтах, находящихся в доверенной зоне, и местных зонах Intranet никогда не блокируются их всплывающие окна, поскольку сайты считаются доверенными.

Настройка брандмауэра

Что делает Windows Firewall

Windows Firewall (межсетевой экран) обеспечивает защиту для связанных с сетью компьютеров, предотвращая незапрашиваемые внешние подключения через версию 4 (IPv4) TCP/IP и версию 6 (IPv6) TCP/IP.

В Windows Firewall введено три режима:

  • On (Recommended);
  • On (But don't Allow exceptions; recommended for mobile use);
  • Off (Not Recommended).

Варианты конфигурации включают:

  • предоставление статических исключений для портов;
  • предоставление исключений для приложений;
  • конфигурирование основных ICMP-вариантов;
  • регистрация (журналирование) отброшенных пакетов и успешных подключений.

После установки Windows XP SP2 межсетевой экран включается автоматически, это сделано для повышения уровня защищенности операционной системы.

Теперь компьютер в ходе запуска и останова открыт для куда меньшего количества нападений.

Брандмауэр получил собственный интерфейс (ранее его можно было настраивать только в свойствах сетевого соединения) и научился вести список программ, которым разрешен доступ в Сеть. Когда поведение какой-либо программы вызывает сомнения, брандмауэр предлагает ее закрыть — если вы уверены в правильности работы прикладной программы, можете добавить ее в список «разрешенных».

Уникальная возможность: защита сетевых интерфейсов при включении и выключении системы, пока основной firewall не запустился. Ранее в это время система была уязвима для атак извне.

Remote Procedure Call (RPC)

Существенно изменена архитектура подсистемы RPC, которая используется во многих системных приложениях: доступ к файлам и принтерам, автоматическое обнаружение сетевых ресурсов и пр. Многие вирусы распространялись, используя уязвимости RPC. Теперь же она требует аутентификации и с анонимными клиентами не общается. Это существенно снижает риск заражения новыми, ранее неизвестными вирусами. Уровень привилегий, на котором исполняются блоки RPC, был понижен — и это тоже положительно сказывается на устойчивости системы. Даже если злонамеренная программа проникнет на ваш компьютер, она не сможет причинить столько ущерба, как раньше.

Подсистема DCOM тоже подверглась доработкам. И теперь по умолчанию в системе выключен сервис передачи сообщений. Для наших реалий это не очень важно, а вот в США очень распространена рассылка спама через Windows Messaging.

Поддержка беспроводных сетей

Улучшена поддержка беспроводных сетей, в том числе Bluetooth. Упор делался на безопасность подключений. Добавлен новый Мастер беспроводной сети.

Защита памяти

Реализовано два существенных механизма по борьбе с попытками запуска злонамеренного кода: NX8 (no-exec) блоки памяти и проверка на переполнение буфера9.

Идея метода проста: если блок памяти объявлен как блок данных, то запустить код, который в нем находится, невозможно (возникает Access violation). Потому программе, использующей механизм переполнения буфера, просто не удастся запустить свой код.

Второй механизм называется «песочница» (sandboxing): проверка системой всех буферов данных на предмет угрозы их переполнения. Теперь нельзя вызвать переполнение буфера при помощи системных функций Windows, и это существенно повысит защищенность ОС от вирусов, червей и троянских программ, которые часто используют переполнение буфера. Идея метода проста: каждый буфер памяти окружается специальными маркерами, за целостностью которых следит операционная система. Этот метод давно используется при разработке программ, когда за переполнением следит отладчик.

Однако вместе с обновлениями появляются и проблемы

Проблемы с SP2 для Windows XP

Второй пакет обновлений привносит в Windows XP множество изменений, связанных с безопасностью и, в первую очередь, с работой компьютера в сети. Изменения в ряде случаев оказались весьма глубокими, поэтому программы, использующие небезопасные механизмы, могут оказаться несовместимыми с сервис-паком.

Этот факт никогда не скрывался Microsoft. Еще в марте нынешнего года менеджер компании Тони Гудхью заявил, что приложения, не совместимые с сервис-паком, обязательно найдутся, и добавил, что не считает это недоработкой со стороны одной только Microsoft. Безопасность, по мнению Гудхью, это «проблема не только Microsoft, но и сообщества разработчиков в целом».

С целью обеспечения защиты компьютера под управлением Windows XP SP2 брандмауэр Windows блокирует непредусмотренные входящие подключения. Однако в некоторых случаях возникает необходимость разрешить отдельным пользователям установку подключения к компьютеру (например, для участия в многопользовательской игре через интернет или чтобы получить файл, отправленный с помощью программы для обмена немедленными сообщениями).

После установки пакета SP2 некоторым клиентским приложениям не удается получить данные с сервера — в частности, клиентам FTP, приложениям для потоковой передачи мультимедийных данных, а также отдельным почтовым программам (получение уведомлений о наличии новых сообщений).

Кроме того, некоторые серверные приложения на компьютере под управлением Windows XP SP2 не будут отвечать на запросы клиентов. Это касается, в частности, веб-серверов (в том числе серверов PWS Personal web services), удаленного рабочего стола и, наконец, общего доступа к файлам.

В таких случаях придется провести ручную настройку брандмауэра.

Иногда при блокировании программы брандмауэром появляется диалоговое окно Предупреждение системы безопасности, которое содержит следующее сообщение: Для защиты компьютера брандмауэр Windows заблокировал эту программу от получения нежелательной информации из Интернета или по сети. В сообщении указаны название и издатель программы. В диалоговом окне можно выбрать одно из следующих действий:

  • разблокировать программу;
  • продолжить блокирование программы;
  • продолжить блокирование программы, но предложить разблокирование позже.

Ниже представлены способы, с помощью которых можно восстановить режим работы программы, существовавший до установки SP2 для Windows XP, а также разрешить выполнение нужных программ.

Разблокирование программы:

  1. В диалоговом окне Предупреждение системы безопасности выберите вариант Разблокировать программу.
  2. Нажмите ОК.

Разрешение выполнения программы:

Если в диалоговом окне Предупреждение системы безопасности не выбрана команда Разблокировать программу, брандмауэр будет продолжать ее блокировать.

Чтобы разблокировать программу с помощью брандмауэра Windows, выполните следующие действия:

  1. В меню Пуск выберите пункт Выполнить, введите в поле Открыть команду wscui.cpl и нажмите ОК.
  2. Откройте окно Брандмауэр Windows.
  3. Во вкладке Исключения и нажмите кнопку Добавить программу.
  4. В диалоговом окне Добавление программы выберите программу из предложенного списка или нажмите кнопку Обзор, чтобы найти ее самостоятельно.
  5. Выбрав программу, нажмите кнопку .
  6. Убедитесь, что флажок напротив названия нужной программы на вкладке Исключения установлен, и нажмите кнопку (если возникнет необходимость удаления программы из списка исключений, этот флажок нужно будет снять).

Добавление программы в список исключений имеет следующие преимущества:

  • номер сопоставленного программе порта знать не обязательно;
  • порт, который используется программой из списка исключений, открывается только в том случае, когда программа ожидает получения данных извне.

Если программа не работает даже после внесения ее в список исключений или если при выполнении действия 4 предыдущего способа найти программу не удается, попробуйте открыть порт вручную (см. «Как вручную открыть порт с помощью брандмауэра Windows»).

Однако предварительно следует определить, какие порты используются программой. Для этого следует обратиться к разработчику программы; если же получить список портов у разработчика почему-либо не удается, воспользуйтесь средством Netstat.exe (врезка «Определение портов с помощью средства Netstat.exe»).

* * *

Как видите, прежде чем устанавливать сервис-пак, специалисты служб технической поддержки должны продумать, как именно следует настроить Windows XP SP2, чтобы обеспечить нормальную работу имеющихся программ.

А в заключение хотелось бы сослаться на рекомендации организации US-CERT, созданной при помощи Министерства внутренней безопасности США: сервис-пак значительно повышает безопасность системы, и поэтому установить обновление крайне желательно — вместе с тем, из-за того что SP вносит значительные изменения в настройки операционной системы, некоторые программы могут испытывать трудности после установки сервис-пака. Поэтому в CERT рекомендуют отнестись к установке обновления максимально серьезно и сделать резервные копии всех важных данных.

Как вручную открыть порт с помощью брандмауэра Windows

Если определить используемые программой порты не удается, откройте их вручную. Чтобы определить подлежащий открытию порт, обратитесь к документации или же к разработчику программы. Далее выполните следующие действия:

  1. Войдите в Панель управления.
  2. Выберите Брандмауэр Windows.
  3. На вкладке Исключения нажмите кнопку Добавить порт.
  4. В диалоговом окне Добавление порта введите в поле Номер порта номер открываемого порта и выберите вариант TCP или UDP.
  5. Введите название порта и нажмите кнопку ОК (например, Игровой порт).
  6. Чтобы просмотреть или изменить область исключения для порта, нажмите кнопку Изменить область, а затем — .
  7. Убедитесь, что на вкладке Исключения указана новая служба. Чтобы открыть порт, установите флажок рядом с новой службой и нажмите кнопку .

Программы, которым необходимо открыть порты вручную

Ниже перечислены программы и игры, для обеспечения правильной работы которых необходимо открыть определенные порты.
Программа Производитель Порты Исключения по умолчанию Примечания
Visual Studio .NET Microsoft см. документацию см. документацию требуется только для отладки DCOM в удаленном режиме
SQL Microsoft динамически назначаемые порты для удаленного вызова процедур и модели DCOM   требуется только для отладки в удаленном режиме
Backup Exec 9 Veritas 10000 C:\Program Files\Veritas\Backup Exec\RANT32\beremote.exe требуется только для создания резервной копии клиента с сервера
Ghost Server Corporate Edition 7.5 Symantec
  • TCP-порт 139 для службы сеансов NetBIOS;
  • ЕСЗ-порт 445 для SMB по TCP;
  • UDP-порт 137 для службы имен NetBIOS;
  • UDP-порт 138 для службы датаграмм NetBIOS
см. документацию требуется клиентом Ghost
Symantec AntiVirus Corporate Edition 8.0 Symantec совместный доступ к файлам и принтерам В результате установки флажка «Совместный доступ к файлам и принтерам» будут открыты следующие порты: UDP 137, 138; TCP 139, 445 требуется для установки клиента
SMS 2003 Server Microsoft порты для совместного доступа к файлам и принтерам см. документацию требуется для получения доступа к программе «Просмотр событий» на клиентском компьютере под управлением Windows XP SP2
Cute FTP 5.0 XP GlobalSCAPE 21 или FTP-сервер см. документацию требуется для подключения по протоколу FTP к компьютеру под управлением Windows XP SP2
Exceed 7.0, 8.0 Hummingbird 21 или FTP-сервер см. документацию требуется для подключения проводника Windows к удаленным компьютерам по протоколу FTP
KEA! 340 5.1 Attachmate 23 или сервер Telnet см. документацию требуется для установки сеанса Telnet с удаленным узлом
WRQ Reflection X 10 и 11 WRQ 23 или сервер Telnet см. документацию требуется для установки сеанса Telnet с удаленным узлом
Reflection для IBM 9, 9.03, 10, а также Reflection X 10 и 11 WRQ 21 или FTP-сервер см. документацию требуется для подключения клиента FTP к удаленным компьютерам
Smarterm Office 10 и Smarterm 11 Esker Software 23 или сервер Telnet см. документацию требуется для установки сеанса Telnet с удаленным узлом
Smarterm Office 10 и Smarterm 11 Esker Software 21 или FTP-сервер см. документацию требуется для подключения средства FTP к удаленным компьютерам
ViewNow 1.05 Netmanage 21 или FTP-сервер см. документацию требуется для подключения средства FTP к удаленным компьютерам
ViewNow 1.0 и 1.05 Netmanage 6000 (TCP/IP) и 177 (UDP) см. документацию требуется для установки сеансов X-Windows
ViewNow 1 или 1.05 Netmanage Сервер Telnet или 23 см. документацию требуется для установки сеанса Telnet с удаленным узлом
Microsoft Operations Manager 2000 с пакетом обновления 1 (SP1) Microsoft запрос эха ICMP, совместный доступ к файлам и принтерам, UDP см. документацию требуется для передачи агента MOM на компьютер под управлением Windows XP SP2 с включенным брандмауэром Windows
AutoCAD 2000, 2002, 2004 Autodesk 21 см. документацию требуется для просмотра проектов с помощью FTP (диалоговое окно Открыть), когда на удаленном узле FTP включен брандмауэр Windows
Backup Exec 9.1.4691 Veritas см. документацию %Program Files%\Veritas\Backup Exec\RANT\beremote.exe требуется для создания резервной копии клиента под управлением Windows XP SP2
Мастер работы со сканером или камерой Windows Xerox Network Scanners 21 см. документацию требуется для запуска мастера и получения доступа к отсканированным изображениям
Symantec Corporate AntiVirus 9.0 Symantec см. документацию см. документацию при передаче определений вирусов требуется для того, чтобы клиентский компьютер принял обновления и произвел сканирование
ColdFusion MX Server Edition 6 Macromedia TCP (по умолчанию — 8500) см. документацию требуется для предоставления удаленного доступа к веб-серверу
CA ARCserve Computer Associates
  • UDP-порт 137 для службы имен NetBIOS;
  • UDP-порт 138 для службы датаграмм NetBIOS;
  • TCP-порт 139 для службы сеансов NetBIOS;
  • UDP-порт 704;
  • UDP-порт 1478 для MS-sna-base;
  • UDP-порт 1900 для SSDP;
  • TCP-порт 6050 для службы ARCserve;
  • TCP-порт 6051 для службы ARCserve
см. документацию требуется для удаленной установки, лицензирования и обмена данными с клиентами
EDM File System Agent 4.0 EMC 3895 см. документацию требуется для установки клиента EDM с сервера на компьютер под управлением Windows XP SP2
Microsoft Systems Management Server 2003 Microsoft TCP-порт 2701 %WINDIR%\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe требуется для удаленного управления компьютером под управлением Windows XP с пакетом обновления 2 с помощью средства Remote Tool
Aelita ERdisk для Active Directory 6.7 Quest Software см. документацию совместный доступ к файлам и принтерам требуется для установки подключения к удаленному компьютеру
Hummingbird Host Explorer 8 Hummingbird ТСР-порты 21 и 23 см. документацию требуется для установки подключения Telnet к компьютеру под управлением Windows XP SP2
BV-Admin Mobile Bind View см. документацию совместный доступ к файлам и принтерам требуется для установки подключения к удаленному компьютеру
SQL 2000a Microsoft 1433 и 1434 см. документацию требуется для установки подключения к удаленному компьютеру
Backup Exec 8.6.1       требуется для передачи удаленного агента на компьютер под управлением Windows XP SP2
Microsoft SNA 4.0 SP3 Microsoft см. документацию совместный доступ к файлам и принтерам требуется для того, чтобы видеть клиентский компьютер под управлением Windows XP SP2
Extra! Personal Client 6.5 и 6.7 Attachmate сервер Telnet или порт 23 см. документацию требуется для установки сеанса Telnet с удаленным узлом
Extra! Enterprise 2000 Attachmate сервер Telnet или порт 23 см. документацию требуется для установки сеанса Telnet с удаленным узлом
Extra! Bundle for TCP/IP 6.6 Attachmate сервер Telnet или порт 23 см. документацию требуется для установки сеанса Telnet с удаленным узлом
Volume Manager 3.1 Veritas 2148 c:\Progam Files\Veritas\Veritas Object Bus\Bin\vxsvc.exe требуется для установки подключения к клиентскому компьютеру под управлением Windows XP SP2
BMC Patrol для Windows 2000 BMC Software

на компьютере под управлением Windows XP с пакетом обновления 2 (SP2):

  • TCP-порты 3181, 10128 и 25;
  • UDP-порты 3181, 10128 и 25
\\<имя_сервера>\BMC Software\Patrol 3-4\Best1\6.5.00\bgs\bin\Best1CollectGroup.exe требуется для установки подключения сервера к клиентскому компьютеру; перед применением стандартного пути исключения на клиентском компьютере, убедитесь, что предоставлен общий доступ к файлу BMC Patrol на сервере
eTrust 6.0.100 Computer Associates порты для совместного доступа к файлам и принтерам, запрос эха ICMP и TCP-порт 42510 см. документацию требуется для удаленной установки на компьютере под управлением Windows XP SP2
NetShield 4.5 McAfee Security см. документацию совместный доступ к файлам и принтерам требуется для удаленного подключения к клиентскому компьютеру под управлением Windows XP SP2
Computer Associates eTrust 7.0 Computer Associates порты для совместного доступа к файлам и принтерам, запрос эха ICMP см. документацию требуется для того, чтобы сервер Windows Server 2003 eTrust 7.0 мог удаленно проверить возможность входа на компьютере под управлением Windows XP SP2
Computer Associates eTrust 7.0       требуется для того, чтобы сервер Windows Server 2003 eTrust 7.0 мог удаленно установить клиентское приложение eTrust на компьютере под управлением Windows XP SP2. Присвойте указанному ниже параметру реестра значение 0 и перезагрузите компьютер: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\RPC\RestrictRemoteClients (значение типа DWORD)
Игры:
Chess Advantage III: Lego Chess Encore см. документацию см. документацию  
Need for Speed Hot Pursuit 2 EA Games см. документацию см. документацию  
Unreal Tournament 2003 Atari см. документацию см. документацию  
Unreal Tournament Game of the Year Edition Atari см. документацию см. документацию  
Midnight Outlaw: Illegal Street Drag 1.0 VALUSoft см. документацию defwatch.exe  
Scrabble 3.0 Atari см. документацию см. документацию  
Star Trek StarFleet Command III 1.0 Activision см. документацию см. документацию  

 

Определение портов с помощью средства Netstat.exe

  1. Запустите программу и попробуйте воспользоваться одной из ее сетевых функций. Например, запустите поток звука в программе мультимедиа или службу веб-сервера.
  2. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
  3. Чтобы получить список ожидающих портов, введите следующую команду и нажмите клавишу ВВОД:

netstat –ano > netstat.txt

  1. Чтобы получить список идентификаторов запущенных процессов, введите следующую команду и нажмите клавишу Ввод:

tasklist > tasklist.txt

Примечание: если программа выполняется в виде службы, добавьте в команду параметр /svc, чтобы составить перечень служб, которые загружаются каждым процессом:

tasklist /svc > tasklist.txt

  1. Откройте файл Tasklist.txt, найдите программу и выпишите идентификатор ее процесса.
  2. Откройте файл Netstat.txt и найдите все записи, которые сопоставлены данному идентификатору процесса, а также используемый протокол — TCP или UDP.

Решение проблемы отличается в зависимости от номеров используемых процессом портов:

  • если процесс использует порты с номерами ниже 1024, эти номера, скорее всего, меняться не будут;
  • если процессу сопоставлены порты с номерами выше 1024, то программа, скорее всего, использует диапазон портов — и, следовательно, открытие лишь некоторых из них не обязательно приведет к решению проблемы.

1 Софтверный гигант, осознавая стремление клиентов протестировать сервис-пак, выпустил специализированную утилиту, блокирующую загрузку апдейта через службу автоматических обновлений. Эта утилита устанавливала в реестре ключ, предотвращающий инсталляцию сервис-пака в течение 120 дней. Однако, как теперь передает Infoworld, период тестирования был продлен вдвое — до 240 дней. До 11 апреля включительно службы Automatic Updates и Windows Update не будут загружать пакет обновлений на компьютеры с активированным защитным ключом. Начиная с 12 апреля все подключенные к Сети пользователи лицензионных копий Windows ХР получат сервис-пак автоматически.

2 Заказать компакт диск с SP2 (пока только для версий на английском, немецком и французском языках) можно по адресу www.microsoft.com/windowsxp/downloads/updates/sp2/cdorder/en_us/default.mspx.

3 Протоколирование по умолчанию отключено — и его рекомендуется включить.

4 Естественно, обычным пользователям, сидящим на модемной линии этого делать не стоит ввиду величины обновления.

5 Интегрировать второй пакет обновлений можно как в оригинальный установочный пакет Windows XP (без первого пакета обновлений), так и в Windows XP SP1.

6 Основной системный раздел — это раздел, содержащий файлы, которые обеспечивают взаимодействие с оборудованием и используются при загрузке операционной системы, например файлы Ntldr, Boot.ini и Ntdetect.com.

7 Внимание! Отключить панель информации можно путем снижения уровня принятых по умолчанию параметров безопасности Internet Explorer. Однако Microsoft рекомендует не менять принятые по умолчанию значения параметров безопасности — или повысить уровень защиты.

8 Механизм требует аппаратной поддержки от процессора и сегодня реализован только в AMD K8 и Intel Itanium.

9 Переполнением буфера называется операция, при помощи которой злонамеренная программа использует какую–либо стандартную функцию программы или ОС, передавая ей слишком большой блок данных.

Владимир БЕЗМАЛЫЙ,
ep_big@comizdat.com


P.S. Никакая рассылка не заменит большой журнал с цветными иллюстрациями и компакт-диском. Наш подписной индекс — 01728.

Задать вопрос
Прислать свою статью для публикации в журнале
Просто поговорить

До следующего выпуска!
Елена Полонская, редактор "К+П"
www.comizdat.com

Перепечатка материалов этой рассылки разрешается только по согласованию с редакцией журнала "Компьютеры+Программы"


http://subscribe.ru/
http://subscribe.ru/feedback/
Подписан адрес:
Код этой рассылки: comp.paper.bestarticles
Отписаться

В избранное