Windows XP SP
給安裝它的各種用戶和組織帶來了一系列的問題
在發布SP
前的幾個月
微軟專門組織人已應對SP
帶來的潛在問題
以加強其安全性
筆者在
月份曾經撰文指出
XP SP
在安全方面跨出了一大步
但同時會破壞了一些東西
我就很多SP
引發的潛在問題對
TechRepubilc
讀者進行了預警
然而
自從
月初XP SP
被發布
不斷傳來的由於安裝SP
引發的兼容問題和軟件問題使人感到震驚和沮喪
首先讓我們看看傳聞中SP
引發的問題
已知問題 微軟發布SP
之後
很快又發布了Knowledge Base Article
文中指出
安裝SP
會導致一些程序停止工作
此文還給出了一個在SP
下不能正常工作的程序的列表
因為這次升級的下載量非常大
由於在下載升級報時
網絡會經受一系列
下降
所以你也許想關閉Windows的自動升級功能(至少是設置為
下載任何升級之前提醒我
)
Windows XP家庭版自動升級到SP
需要下載
MB數據
自動升級從
月
日開始
微軟推遲了Windows XP專業版的自動升級
用戶如果還沒准備好
那他們有足夠的時間禁止自動升級功能
以下問題對於那些安裝了SP
的用戶可能出現
一些FTP客戶端失敗
流媒體應用程序不能工作
一些e
mail軟件不能正確升級和顯示新郵件
一些與服務器有關的問題(當運行服務器功能時)
包括無法正確識別或響應客戶端的請求
IIS服務
文件共享和遠程桌面功能也會有問題
一個已知的問題是
Microsoft Business Solutions CRM Sales for Outlook
需要一個補丁
Microsoft L
TP客戶端使用NAT方式連接服務器時會出現問題
有不少問題出現在
多人網絡游戲和即時通信軟件
幸好這不會影響到大多數商業用戶
德國的一家安全公司
Heise Security
發現了存在於SP
中的漏洞
並認為這些漏洞將使病毒和蠕蟲給Windows帶來巨大破壞
XP防火牆問題 目前
很多問題和默認激活的Windows防火牆(也被稱作網絡連接內置防火牆
ICF)有關
如果ICF不能直接處理新的應用程序
解決方法是重新配置ICF以使其接受應用程序或手工開啟特殊端口
微軟專門發布了Knowledge Base Article(
)
介紹了XP SP
中與ICF相關的問題
以及如何解決這些問題
一些管理員可能簡單地關閉ICF
在大多數公司設置中
通常已經有了一個網絡防火牆
所以他們不需要ICF了
然而
對於那些沒用防火牆的遠程用戶
分支機構和小企業來說
應該考慮使用ICF
否則他們就把安全的改善寄托在SP
上
如果你走運
當你運行一個還沒有配置為與一個穩定的防火牆一起運行的應用程序時
ICF會給出一條錯誤提示
這是Windows防火牆安全警告(Firewall Security Alert
FSA)讓你快速解決這個應用程序障礙的提示
這樣操作之後
將消除今後的問題
如果系統沒有彈出FSA對話框
你就必須決定應打開哪個端口
並重新手動設置ICF以識別程序
微軟提供了如下指導以對ICF進行設置
點擊
開始|運行
輸入wscui
cpl
點擊Windows防火牆
點擊Exceptions選項卡
並選擇添加程序
如果列表中出現了
從列表選擇相應的程序
點擊ok
然後確保在Exceptions對話框中列出的程序是被選中的
我建議你為那些已經手動添加了的程序制作一個列表
以便你因遇到其它應用程序而出現問題時再退回來
重新選擇
如果你可以通過這個方法修正問題
你就不需要了解更多的技術細節
如程序使用的端口等等
ICF可以進行自動管理
打開或關閉相應的端口
因此增加了安全性
如果FSA對話框和手動程序設置都不能解決問題
或者該程序名稱根本就沒出現在Exceptions選項卡中
你就必須手動設置防火牆了
要做到這點
需要用戶了解哪個程序使用哪個端口
對於人工設定端口
運行wscui
cpl
打開Windows防火牆
進入Exceptions選項卡中的Add Port選項
鍵入端口號
確定其為TCP或UDP
並為其起名
點擊Exceptions選項卡
檢查新服務是否被添加
你仍然需要檢查服務後面的選擇框是否被選中
如果你不知道端口
並且不能從服務商的文檔中直接查到
你就必須在程序正常運行過程中對程序狀態進行監視
微軟建議讀者使用netstat –ano > netstat
txt命令監視應用程序
參數a列寫了所有監聽的端口和連接
參數n列寫了端口號
參數o可以識別哪個程序正在使用哪個端口
所有被捕捉到的結果將被寫入
netstat
txt
文件
任務管理器可以顯示運行的應用程序
使用
tasklist /svc
可以顯示服務
據微軟KBA
所述
下列程序可能需要你重新配置ICF端口和權限才能正確運行
但這並不是完全列表
只包括用戶經常遇到的程序
Microsoft Visual Studio
NET
Microsoft SQL Server
a(ports
and
)
Microsoft SMS
Server(TCP
)
Microsoft Operations Manager
SP
Microsoft SNA
SP
Attachmate KEA!
Attachmate Extra! Personal Client
and
(port
)
Attachmate Extra! Enterprise
(port
)
Attachmate Extra! Bundle for TCP
IP
(port
)
Autodesk AutoCAD
(port
)
Autodesk AutoCAD
(port
)
Autodesk AutoCAD
(port
)
Computer Associates ARCserve
Computer Associates eTrust
and
Macromedia ColdFusion MX SE
(port
)
NetManage ViewNow
and
Veritas Backup Exec
(port
)
Exec
(see documentation)
and Volume Manager
(port
)
Symantec Ghost Server Corporate Edition
and AntiVirus Corporate Edition
and
結束語 根據
年
月
日
SANS(System Administration Networking and Security Institute
SANS Institute)的一項網上調查顯示
%的用戶反映安裝XP SP
後沒有出現問題
%的用戶出現小問題
%的用戶問題很大
但是他們可以自己修復
還有
%的用戶出現嚴重問題但是無法自行修復
%的用戶不得不重裝系統
最棘手的是那些不能進入安全模式修復而不得不重裝系統的那
%的用戶
的只能進行安全恢復或重新安裝系統
雖然只是
%的情形
但我正在談論的也是全球成千上萬的系統
安裝新的防火牆軟件會觸發應用程序的問題
這些應用程序包括那些客戶端的查詢和客戶端的軟件
以及必須從服務器上獲取數據的應用
這些問題是一個正常現象
這些問題對於大多數網絡管理員來說是容易解決的
由於已經他們的網絡裡已經有了網絡防火牆
所以只需關閉ICF就行了
同樣
管理員可以查看他們正在使用的防火牆的設置
然後使用這些端口設置來配置公司防火牆之外的工作站或筆記本
XP SP
在安全方面最顯著的(也是直接影響系統管理員的)改進是
通過升級可以阻擋絕大多數蠕蟲引發的緩沖區溢出(buffer overruns)
但是
且慢歡呼
這個巨大的進步需要依靠No eXecute(NX)特性
NX可以防止任何代碼在被保護的內存區域中執行
這意味著
緩沖區溢出仍然會出現
但是惡意代碼會被移至一個不會對系統造成任何傷害的內存區域進行
問題是現在大量的CPU不支持NX命令
實際上只有最新的AMD芯片和一些Intel Itanium服務器的芯片支持這個功能
目前
為XP系統增加NX功能來提高安全性
理論上的幫助大於實際上的幫助
但如果NX被更多的芯片所采用
在下次你升級系統時將會有重大影響
另一需要記住的是
ICF的過濾只是在流量進入系統時發生
但對於像按鍵登陸(keystroke logging)這類的惡意軟件
它從你的系統向外發送報告
ICF的過濾就無能為力了
ZDNet UK也提出了一個有趣的觀點
因為ICF是微軟的一個coding項目
因此在不久的將來一定會有黑客發現關閉ICF
修改ICF配置或欺騙ICF的方法
這個觀點還需要時間來證明
但是已經有防火牆廠商推出了可與SP
兼容的防火牆
並能在商業級防火牆安裝時關閉ICF
From:http://tw.wingwit.com/Article/os/youhua/201311/10813.html
