[安全]警惕双刃剑WinXP SP2

ZDNet软件频道 时间:2004-07-08 作者:Builderau.com.au |  我要评论()
本文关键词:
微软公司在发布的Windows XP SP2中加强了安全功能,然而这些安全特性却影响了某些应用程序的功能的。
本文译自TechRepublic,未经许可请勿转载

微软公司在发布的Windows XP SP2中加强了安全功能,然而这些安全特性却影响了某些应用程序的功能的。

Windows XP SP2的发布是操作系统生命里程的一大里程碑。微软使出浑身解数加强安全性,但也因此而引起很多问题,SP2 为安全起见,损失了与旧系统和软件的回溯兼容性。系统管理人员需要提前了解,SP2 会为内部网络中的Windows XP系统带来什么样的影响。

以Service Pack 2 RC1为基础

本文信息是根据Windows XP Service Pack 2 RC1所作的评析。该软件正式发布时可能略有修改,但本文谈到的内容大体上适用。

细节

Windows XP SP2会大幅改善XP几乎各方面的安全性缺省配置,从电子邮件到网页浏览乃至于防护常见的缓冲区溢满(buffer overrun)问题。但要引进这种种安全改良功能,免不了得引起一些相当大的问题。根据ZDNet UK最近报导,微软承认,每十种应用程序中,就会有一种因为SP2更新而发生问题(我认为这是保守的估计)。

以下是XP SP2部分的一些最重要的安全设定改变:

  • 互联网连线防火墙(The Internet Connection Firewall)如今的默认值为开启,对SOHO用户而言应可改善安全性,但在企业环境下,却可能对于设法连上网络资源的使用者造成困扰。防火墙现在在开机顺序上也比以往大幅提前,甚至在网络堆叠(network stack)启动之先。关机时,防火墙会一直保持开启状态,直到网络堆叠停止之后。
  • Messenger服务如今默认为停止状态
  • 弹出式广告拦截工具默认为开启状态
  • 新增统筹安全性的应用程序,称为Windows 安全中心(Windows Security Center)(要了解这个特点的详细信息,请看文章News.com article)。这项功能的用意是把最基本的安全设定信息全部集中在容易管理的同一个面板。这些信息包括防火墙是否开启、防毒软件是否运作,以及最新更新版软件是否更新。
  • 把NX支持加入Windows XP.NX (no execute),这样会允许支持NX的中央处理单元(CPU)把某些内存区域标注为不得执行(non-executable)。换句话说,任何闯入那些区域的源代码(或许是不良的程序例如Blaster或其他的病毒程序)都只能呆在那儿不准运行,因而被失去了破坏能力。此功能将强化Windows XP操作系统对抗恶名昭彰的缓冲区溢满威胁。NX目前只支持超微(AMD )K8处理器及英特尔Itanium处理器,但未来发布的大多数32和64位处理器皆有望支持此安全功能。
  • 分散式元件物件模型(DCOM)必须遵循一套新的限制,任何元件物件模型(COM)服务器的每个动作,几乎都受制于存取控制清单(access control list)。另外还提供详细的一套COM授权,让系统管理员能更精确调整COM许可政策。
  • 改良的port management。不再把关闭通讯埠的任务交由应用程序结束后去执行。以往,如果程序开发者省略关闭的例行程序,或应用程序当掉,可能让通讯埠开着,导致XP易遭外来攻击。SP2加强了通讯埠管理,提供一份应用程序优良名单,只许具有管理员权限的使用者更改。把一应用程序(例如点对点程序)列入优良名单,引起通讯埠自动管理。这类应用程序今后亦可视为通讯埠的经常使用者,无须管理员权限即可在ICF开启通讯埠。
  • 新的远端程序呼叫(RPC)限制协助加强管理通讯状况。XP SP2这方面的改良让系统管理员微调RPC 服务。这种精细的RPC控制让使用者指定以某一通讯埠做RPC,即便该应用程序不在优良名单上也行。RPC的相关改变很多,包括新的“RestrictRemoteClients”登录钥(registry key),在默认情况下即阻挡大多数试图匿名存取系统RPC 界面的远端连线,但不会全面堵死。RPC界面限制要求RPC 呼叫端进行身分认证,这使得对界面发动攻击的难度更高,有助于缓和木马程序(Trojan)攻击。

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134