Adminie, zabezpiecz się
Przedstawiciele Microsoftu od pewnego czasu niemal jak mantrę powtarzają słowo “bezpieczeństwo”, odmieniane przez wszystkie przypadki. Jest to efekt wielu często uzasadnionych zarzutów pod adresem giganta z Redmond. Dla programistów Microsoftu liczba publikacji o lukach w ich oprogramowaniu z pewnością stała się szczególnym bodźcem do pracy. Zawartość SP1 jest tego najlepszym potwierdzeniem. Nowe funkcje są bowiem w większości wypadków powiązane właśnie z poprawą bezpieczeństwa.
Pierwszym widocznym elementem ochrony serwera jest Windows Firewall, który pojawił się po raz pierwszy w SP2 dla Windows XP. Narzędzie to umożliwia filtrowanie ruchu sieciowego wychodzącego i przychodzącego do serwera oraz rejestrację zdarzeń (np. prób włamań). Ważne jest, że obsługuje ono protokół TCP/IP nie tylko w wersji 4, ale również 6 (IPv6). Zaletę firewalla stanowi też możliwość zarządzania nim za pomocą Zasad Grup (ang. Group Policy). Jednakże na tle dostępnych na rynku komercyjnych zapór ta wydaje się mniej funkcjonalna.
Po instalacji SP1 na Pulpicie pojawia się ikona prowadząca do dokumentacji kreatora konfiguracji zabezpieczeń (Security Configuration Wizard – SCW). Co ciekawe, samo narzędzie nie jest jeszcze w tym momencie zainstalowane. Należy dopiero wykonać tę operację, korzystając z apletu Dodaj Programy w Panelu sterowania. SCW służy do zmniejszenia w systemie liczby celów zagrożonych potencjalnymi atakami. Po pierwsze: pytając użytkownika o funkcję, jaką ma pełnić serwer, dokonuje analizy konfiguracji usług systemowych i wykorzystywanych portów. Następnie poprawia ustawienia, dążąc do zmniejszenia zagrożenia Okien. Na tym etapie wyłączane są zbędne (dla danej roli serwera) usługi oraz zamykane zostają niewykorzystywane porty. Zaletą SCW jest możliwość jego modyfikacji. Wynika ona z faktu, że narzędzie to wykorzystuje szablony zabezpieczeń zapisane jako dokumenty XML. Możemy więc bez trudu tworzyć nowe schematy i co za tym idzie, dostosowywać je do własnych wymagań.
Blasterowi mówimy NIE!
Za sprawą nowego kreatora poinstalacyjnych aktualizacji zabezpieczeń (Post-Setup Security Updates) takie robaki jak Blaster nie powinny być już zagrożeniem. Działanie wspomnianego narzędzia polega na blokowaniu wszystkich połączeń przychodzących do serwera po zakończeniu instalacji. Blokada trwa do momentu uruchomienia usługi Windows Update oraz pobrania i instalacji najnowszych łatek do Windows 2003. Oczywiście, jeżeli takowe są dostępne.
Wśród poprawek nie zabrakło również istotnych elementów wprowadzonych wraz z SP2 do Windows XP. Jedną z nich jest technologia DEP (Data Execution Prevention), zapobiegająca wykonywaniu kodu potencjalnie niebezpiecznego dla komputera. Obszerniejszy opis DEP znajduje się w CHIP-ie 10/2004, s92. Poprawiono oczywiście także bezpieczeństwo Internet Explorera i Outlook Expressa. Mało tego: w SP1 znajdujemy uaktualnioną wersję aplikacji odtwarzającej multimedia – Windows Media Playera 10. Tylko jaki jest sens instalacji i korzystania z tego programu na serwerze?
Instalować czy nie?
Zanim przeprowadzimy instalację SP1, warto się do niej przygotować. Po pierwsze, należy się zapoznać z pełną dokumentacją zawartą na stronach producenta i sprawdzić w środowisku testowym, czy wszystkie używane przez nas programy będą poprawnie pracowały po instalacji poprawek. Microsoft na swych stronach (patrz: ramka poniżej) zamieścił listę aplikacji, które przeszły testy. Użytkownicy innych programów powinni rzetelnie sprawdzić, czy nie będzie z nimi kłopotów. Drugim istotnym elementem poprzedzającym instalację SP1 powinno być wykonanie pełnej kopii bezpieczeństwa naszego systemu. Brzmi to jak truizm, ale niestety często czynność ta jest pomijana. A zaniedbanie w tej kwestii może być przyczyną niemałych problemów.
Z drugiej strony nie należy oczekiwać, że SP1 jest remedium na wszystkie kłopoty. Już w trakcie pisania tego tekstu pojawiła się informacja o błędzie zawartym w SP1, który powoduje problemy z komunikacją sieciową w trakcie nawiązywania połączeń terminalowych lub przy próbach dostępu do zasobów udostępnionych na serwerze.
