SP2 - nieszczelne okna

Rzekomo bezpieczna aktualizacja Service Pack 2 do Windows XP wręcz zaprasza internautów z całego świata do odwiedzenia twojego komputera. Jest to możliwe dzięki dużej luce w wewnętrznej zaporze sieciowej.

Rzekomo bezpieczna aktualizacja Service Pack 2 do Windows XP wręcz zaprasza internautów z całego świata do odwiedzenia twojego komputera. Jest to możliwe dzięki dużej luce w wewnętrznej zaporze sieciowej.

"Windows XP Service Pack 2 zapewnia lepszą ochronę przed wirusami, hakerami i robakami", "Dzięki dodatkowi SP2 dla systemu Windows XP uzyskuje się wyższy poziom bezpieczeństwa przeglądania i komunikowania się, zaawansowane narzędzia zabezpieczeń i funkcje ułatwiające korzystanie z systemu" - tak Microsoft reklamuje najnowszy pakiet aktualizacyjny do Windows XP. Jednak producent systemu przemilczał dość ważne szczegóły. Wprawdzie bezpieczny, jak deklaruje Microsoft, SP2 ma utrudniać życie hakerom, lecz kusi zwyczajnych internautów do wędrówek po twoim komputerze. Od chwili zainstalowania SP2 w komputerze z Windows XP i określoną konfiguracją sprzętową udostępnione foldery, drukarki i pozostałe usługi są widoczne przez Sieć na całym świecie - mimo włączonej zapory sieciowej. Wystarczy, że pecet udostępnia foldery w lokalnej sieci LAN i nawiązał połączenie internetowe. Ponadto musi być wyłączone udostępnianie połączeń internetowych w tym komputerze. Połączenie może być nawiązane za pośrednictwem modemu, linii ISDN lub sieci DSL. Przedstawiony problem nie dotyka tylko użytkowników, którzy dysponują routerem DSL.

Nasze testy skanowania portów wykazały, że opisana konfiguracja wcale nie należy do rzadkości. Bez większego wysiłku udało nam się odnaleźć w przeciągu kilku chwil prywatne dokumenty na łatwo dostępnych komputerach w Internecie. Ich właściciele przypuszczalnie łudzą się, że udostępnione zasoby są widoczne tylko w wewnętrznej sieci - w wielu przypadkach foldery i pliki nie były nawet zabezpieczone hasłem.

Retrospektywa - podobne problemy w Windows 95

Początek kłopotów - w Windows XP SP1 wyłączone połączenie usługi udostępniania plików i drukarek było w rzeczywistości aktywne.

Początek kłopotów - w Windows XP SP1 wyłączone połączenie usługi udostępniania plików i drukarek było w rzeczywistości aktywne.

Podobna sytuacja miała miejsce z Windows 95, jak wspominają obyci użytkownicy. Wówczas Microsoft zapomniał o tym, że podczas konfigurowania sieci dial-up musi zostać rozwiązane zespolenie adaptera połączeń zdalnych z udostępnieniem drukarek i folderów. Oznacza to, że od chwili nawiązania połączenia internetowego usługa udostępniania była oferowana poprzez adapter dial-up na cały świat. Przedstawialiśmy problem i sposób jego rozwiązania m.in. w artykule "Szpieg w pececie" (PCWK 11/2000, str. 124). Dopiero aktualizacja modułu połączeń zdalnych usunęła ten poważny błąd.

Możesz sprawdzić we własnym systemie, że od tamtej pory usługa udostępniania plików i drukarek nie jest związana z adapterem połączeń zdalnych. Kliknij prawym przyciskiem ikonę Moje miejsca sieciowe na pulpicie i wskaż polecenie Właściwości. Tę samą czynność wykonaj z ikoną swojego połączenia zdalnego (używasz jej do nawiązywania połączeń dial-up z Internetem). Przeskocz na kartę Sieć. Pole wyboru Udostępnianie plików i drukarek w sieciach Microsoft Network powinno być niezaznaczone.

W Windows XP wszystko było w porządku do momentu wprowadzenia aktualizacji Service Pack. Po zainstalowaniu SP1 powyższe ustawienie nie ma żadnego znaczenia. Usługa udostępniania plików i drukarek jest scalona z każdym adapterem sieciowym - również z adapterem połączeń zdalnych. Stanowi to niebłahe uchybienie, bo teoretycznie przekazuje twoje udostępnienia wszystkim w Internecie. Niemniej jednak nie miało katastrofalnych skutków, bo każde połączenie zdalne było chronione przez włączoną zaporę sieciową. Gdy użytkownik próbował ją wyłączyć, pojawiało się ostrzeżenie, że umożliwi dostęp do swojego komputera. Mimo błędu w SP1 Microsoft dobrze zaprojektował konfigurację zapory sieciowej. Zdalne połączenia internetowe mogłeś nawiązywać z udziałem zapory, wewnętrzne zaś bez niej.

Wybuchowa kombinacja

Jeśli nie chcesz, aby twoje udostępnione foldery były widoczne w Internecie, zmień konfigurację zapory. Nie polegaj na opcji domyślnej Tylko moja sieć.

Jeśli nie chcesz, aby twoje udostępnione foldery były widoczne w Internecie, zmień konfigurację zapory. Nie polegaj na opcji domyślnej Tylko moja sieć.

Aktualizacja SP2 przejęła błąd z SP1 i wniosła nowy w konfiguracji zapory sieciowej. Połączenie tych dwóch uchybień jest fatalne w skutkach. Instalacja SP2 przejmuje ustawienia zapory sieciowej. Jeśli była włączona w zdalnych połączeniach internetowych, stanie się aktywna we wszystkich połączeniach. Jednocześnie definiuje wyjątek dla usługi udostępniania plików i drukarek, jeśli była włączona w połączeniach wewnętrznych.

Podczas pierwszego zdalnego połączenia z Internetem po zainstalowaniu SP2 twoje udostępnienia są widoczne dla wszystkich internautów. Każdy z nich może podjąć próbę ustalenia haseł gościa i administratora, aby uzyskać pełny dostęp do systemu.

Samopomoc

Microsoft potwierdził istnienie opisanego problemu, klasyfikując go jako poważny. W chwili przygotowywania tego materiału pracowano nad stosowną łatą. Możesz jednak samodzielnie poprawić konfigurację, choć nie uda ci się przywrócić ustawień sprzed SP2, bo zmieniono zakres możliwości zapory. Nie daje się włączać lub wyłączać dla każdego adaptera sieciowego, lecz tylko dla określonych obszarów sieciowych.

Microsoft zamieszcza na swoich stronach listę aplikacji, które nie działają w pełni z aktualizacją SP2. Nie podaje, gdzie leży przyczyna problemu.

Microsoft zamieszcza na swoich stronach listę aplikacji, które nie działają w pełni z aktualizacją SP2. Nie podaje, gdzie leży przyczyna problemu.

Otwórz aplet Zapora systemu Windows w Panelu sterowania i przejdź do karty Wyjątki. Zaznacz Udostępnianie plików i drukarek i kliknij przycisk Edytuj. Ujrzysz cztery porty wykorzystywane przez usługę udostępniania. Aby zablokować je na zewnątrz i dopuścić ich użytkowanie w wewnętrznej sieci LAN, musisz zmienić jego obszar sieciowy za pomocą przycisku Zmień zakres. Oprócz tego nie działa ustawienie domyślne Tylko moja sieć (podsieć). Aby uniemożliwić podglądanie udostępnień z Internetu, wybierz opcję Lista niestandardowa i podaj adresy IP, dla których powinny być osiągalne. Cały obszar zaznacza się, wpisując np. 192.168.x.0/255.255.255.0, jeśli adresy sieci LAN rozpoczynają się od 192.168.x.

Pamiętaj, że zapora nie daje się konfigurować odrębnie dla każdego adaptera sieciowego, lecz możesz ją uaktywniać i wyłączać dla poszczególnych adapterów. Zatem zamiast stosować powyższe rozwiązanie, możesz wyłączyć ją dla wewnętrznej sieci LAN. Nie zapomnij o wyłączeniu wszystkich opcji na karcie Wyjątki.

SP2 - awaria za awarią

Operacja udana, ale pacjent nie przeżył... Coraz więcej użytkowników narzeka na paraliż systemu po zainstalowaniu aktualizacji Service Pack 2. Poniżej zamieszczamy opis znanych dotychczas efektów ubocznych i radzimy, jak się ich pozbyć.

Instalacja aktualizacji SP2 to poważna ingerencja w funkcjonujący system operacyjny. Windows XP zostaje wzbogacony o ok. 350 MB plików SYS, DLL i EXE, a przecież nie jest to jedyna modyfikacja systemu. Dokładny spis wprowadzonych zmian znajdziesz w pliku SVCPACK.LOG w folderze \WINDOWS, a także w plikach z foldera $NtServicePack-Uninstall$\spuninst.

Biorąc pod uwagę wielkość instalacji SP2, łączna liczba efektów ubocznych zdaje się stosunkowo niewielka. Jednak pozory mylą. Wielu użytkowników zdecydowało się w akcie desperacji na odinstalowanie pakietu, a w niektórych przypadkach niekompatybilności sterowników konieczne było przeinstalowanie całego systemu Windows. Oprócz tego wielu narzeka na problemy sieciowe, awarie przeglądarki internetowej i niezgodności zainstalowanych aplikacji.

Odpowiedź z bazy

Funkcję DEP można włączać i wyłączać z poziomu właściwości systemu.

Funkcję DEP można włączać i wyłączać z poziomu właściwości systemu.

Prace nad Service Pack 2 trwały całe miesiące, a producent kilkakrotnie przesuwał termin wydania. Przyczyną była zapewne niekompatybilność z licznymi programami. Nadal stanowią problem m.in. starsze edycje soft-ware'owej zapory sieciowej Zone-Alarm (sprzed wersji 4.5) i Sygate Personal Firewall (sprzed wersji 5.5), narzędzia DivX, aplikacje do współdzielenia zasobów dyskowych (tzw. filesharing) i Daemon Tools, popularny emulator napędów CD-ROM. Lista opublikowana przez producenta (patrz http://support.microsoft.com/default.aspx?kbid=884130&product=windowsxpsp2 ) zawierała w momencie zamykania numeru 38 aplikacji (w tym gier), w których należy się liczyć z ograniczeniami funkcjonalności. Niemniej jednak na próżno szukać tu propozycji rozwiązań. Zdaje się, że Microsoft zrzuca problem na barki producentów aplikacji, którzy muszą we własnym zakresie przygotować i udostępnić stosowne łaty. Jeśli nie chcesz czekać, spróbuj wyłączyć wewnętrzną zaporę sieciową w Panelu sterowania. Jeśli uda ci się w ten sposób przywrócić działanie danego programu, oznacza to, że wymaga on zdefiniowania specjalnych reguł w ustawieniach zapory. Musisz umieścić aplikację na liście wyjątków.

Problemy z NX i DEP

Microsoft przyznaje w artykule 875352 bazy Knowledge Base, że funkcja zapobiegania wykonywaniu nie jest kompatybilna z niektórymi aplikacjami (patrz http://support.microsoft.com/?kbid=875352 - "Problemy dotyczące zgodności z funkcją DEP mogą występować zarówno w przypadku aplikacji, jak i sterowników"). Wspomniane zapobieganie wykonywaniu, zwane również technologią NX (od: No eXecute) lub technologią DEP (od: Data Execution Prevention), blokuje określone obszary pamięci operacyjnej przed ingerencją niedopuszczalnego kodu - przede wszystkim po przepełnieniach bufora. Wbrew wcześniejszym zapowiedziom, że powyższa technologia będzie obsługiwana tylko przez procesory 64-bitowe, działa również w połączeniu z układami 32-bitowymi - prawdopodobnie Microsoft wyposażył SP2 w emulację software'ową. Funkcję zabezpieczenia można skonfigurować z poziomu apletu System w Panelu sterowania (karta Zaawansowane, przycisk Ustawienia w rubryce Wydajność, przycisk Zapobieganie wykonywaniu danych). Zauważ, że zostawia ona swoje ślady w pliku BOOT.INI. Funkcja NX stała się ostatnio częstym przedmiotem oskarżeń - to ona ma być przyczyną niestabilnego działania aplikacji. Dowiedzione, bo powtarzalne, problemy występują w programie Dr DivX. Zostały opublikowane w zaktualizowanej wersji 1.0.6 (patrz http://www.divx.com/divx/drdivx ).


Zobacz również