Рубрика:
Администрирование /
Продукты и решения
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
МИХАИЛ ПЛАТОВ
Windows XP Service Pack 2 глазами системного администратора
Наконец-таки случилось – самый популярный продукт прошлого и как минимум нескольких последующих месяцев, имеющий непосредственное отношение к безопасности – Windows XP Service Pack 2 – пакет обновлений, выпуск которого несколько раз переносили и откладывали, был предан достоянию компьютерной общественности. Произошло это событие достаточно тихо (прямых ссылок в первые дни не было). 9 августа на сайте загрузки корпорации Microsoft, в разделе для IT-специалистов появился файл WindowsXP-KB835935-SP2-ENU.exe – английская версия Service Pack2, общим размером чуть меньше 300 Мб. Естественно, многие тут же принялись его скачивать, устанавливать и тут же наткнулись на проблемы… Однако обо всем по порядку.
А что, собственно, нового?
В те времена, когда SP2 ждали, многие говорили: «А зачем он мне? Все обновления у меня есть, а эти тупые картинки для начинающих пользователей мне и не нужны». Действительно, у многих знакомых мне людей, в том числе и администраторов, Service Pack 2 прежде всего ассоциируется с «Центром безопасности», брандмауэром «Windows Firewall» и наличием всех критических заплаток для Windows XP. Однако даже поверхностное изучение соответствующей документации от Microsoft показало, что на самом деле все как минимум немного не так. SP2 больше, чем просто пакет критических обновлений. Он включает в себя массу различных обновлений широкого характера, затрагивающих практически все компоненты операционной системы Windows XP. Дабы не быть голословным, приведу достаточно полный список изменений, вносимых в систему пакетом обновлений SP2.
Исправления для Windows XP
В состав SP2 входят все обновления SP1, все критические обновления, вышедшие после SP1, а также исправления, касающиеся работы различных компонент ОС Windows XP. Полный список исправлений (а их более 800) можно найти по адресу: http://support.microsoft.com/default.aspx?kbid=811113.
Брандмауэр Windows Firewall
По мнению MS, это одно из самых значительных нововведений SP2. Фактически он является улучшенной версией Internet Connection Firewall (ICF), доступного в Windows XP. Теперь у него есть собственный графический интерфейс конфигурирования, поддерживается задание глобальных настроек для всех соединений, списков исключений (как для IP-адресов, так и для приложений), различные режимы работы (в домене и за его пределами, со списком исключения и без), а также работа в сетях IPv6. Кроме того, Windows Firewall тесно интегрирован с ОС Windows – запускается на ранней стадии загрузки ОС, до завершения инициализации стека TCP/IP и выключается на одной из последних стадий завершения работы системы, что должно обеспечить безопасность не только во время работы компьютера, но и во время его включения и выключения.
После установки SP2 Windows Firewall будет включен, практически вся сетевая активность будет запрещена. Так, при попытке обращения к сети какого-либо приложения появится всплывающее окно:
Рисунок 1
в котором можно выбрать действие, которое firewall будет использовать для этой программы. Кроме того, помимо «ручной» настройки брандмауэра непосредственно в процессе интерактивной работы за компьютером, администраторам также предоставляются возможности настройки через групповые политики.
Центр обеспечения безопасности Windows
Служба, представляющая собой центральное место обеспечения безопасности для пользователя. Microsoft (кстати, и не только она) считает, что многие нашумевшие проблемы безопасности последнего времени могли бы и не возникнуть, если бы большая часть пользователей следовала трем простым правилам: иметь регулярно обновляемый антивирус, брандмауэр, устанавливать критические обновления для ОС. Так вот, «Центр безопасности» как раз и занимается тем, что в фоновом режиме проверяет состояние каждой из этих трех служб.
Рисунок 2
И если какой-либо из компонентов отсутствует или не работает, то центр безопасности выводит в системном трее соответствующее предупреждение:
Рисунок 3
На данный момент «Центр безопасности» не признает брандмауэры и антивирусы третьих фирм. В скором времени, как только производители выпустят соответствующие обновления, ситуация, скорее всего, изменится, а пока администраторы могут временно отключить соответствующие напоминания, используя апплет «Центр безопасности», находящийся в панели управления Windows.
Обновления безопасности RPC
Служба удаленного вызова процедур (RPC) всегда была неотъемлемой частью ОС семейства Windows NT. RPC неявно используется при удаленном администрировании через mmc (Microsoft Management Console), а также при работе с общими файлами и принтерами. Стандартная установка Windows XP содержит более 60 (!) сервисов RPC. Да чего уж тут говорить, самые известные черви последнего времени (blaster, sasser) проникали на компьютеры, используя именно уязвимости в RPC/DCOM! Так вот в SP2 Microsoft попыталась поставить вирусописателям очередную преграду (эффективную или нет, покажет время). Теперь при работе с программами по RPC пользователь должен пройти обязательную аутентификацию (режим по умолчанию). Кроме того, Microsoft добавила дополнительные возможности для настройки безопасности RPC, используя которые можно определить, какие из сервисов RPC должны быть доступны для локальной сети, какие для внешней, а какие вообще должны быть отключены. помимо этого, некоторые изменения относительно обработки RPC-трафика были также внесены в Windows Firewall.
Обновления безопасности DCOM
И эта модель с несколько подмоченной в плане безопасности репутацией подверглась некоторым изменениям. После установки SP2 только аутентифицированные пользователи смогут удаленно вызывать DCOM-объекты. Кроме того, SP2 добавляет новые уровни безопасности доступа к COM-объектам (локальный вызов, удаленный вызов, локальная активация, удаленная активация), с помощью которых можно просто и быстро настроить необходимый доступ как для локальных, так и для удаленных пользователей.
Предотвращение выполнения данных (Data Execution Protection)
В ОС добавляется поддержка аппаратно-реализуемой в процессорах технологии NX (No Execute). Данная технология позволяет ставить «запрет на исполнение» для страниц, содержащих данные. Таким образом, если злоумышленник попытается использовать атаку переполнения буфера, дописав к данным свой исполняемый код, ОС и процессор, поддерживающие данную технологию (на данный момент это AMD K8 и Intel Itanium на ядре Nocona), не позволят этому коду выполниться. Считается, что если бы эта технология поддерживалась компьютерами уже год назад, мир не узнал бы эпидемии MS Blaster и других червей, использующих при своем распространении ошибки переполнения буфера. Специалисты полагают, что поддержка данной технологии способна нанести ощутимый удар по вирусам и червям.
Обновленные модули системы
Для улучшения безопасности уже существующих и широко распространенных 32-битных процессоров все файлы операционной системы были перекомпилированы с опцией программной проверки переполнений стека и кучи. Теперь, если во время выполнения программы будет обнаружена попытка переполнения стека или кучи, то будет вызвано программное исключение.
Установщик Windows Installer 3.0
Отличительными особенностями являются: поддержка технологии Delta Patching (минимизирует размер обновлений), расширенные возможности определения того, какие компоненты нужно обновлять, а какие нет, а также возможность удаления установленных обновлений.
Новый клиент автоматического обновления
Судя по названию (SUS20ClientDataStore), данный клиент, скорее всего, будет поддерживать работу с анонсированным на первую половину 2005 года WUS (Windows Update Services), ранее известного как SUS 2.0 (Software Update Services). WUS будет поддерживать установку не только критических обновлений ОС Windows, но и других продуктовот Microsoft (Office, SQL Server и др.).
Улучшения безопасности Internet Explorer
Браузер от Microsoft тоже обзавелся дополнительной функциональностью. Так, теперь в его состав входят менеджер подключаемых модулей, система отслеживания ошибок и блокиратор всплывающих окон. Как видно из названия, с помощью первого компонента можно просмотреть список всех расширений для IE (даже те, которые он раньше не показывал), а также определить, какие из них будут запускаться. Главным назначением второго компонента является отслеживание ошибок при запуске IE и автоматическое отключение расширений, вызвавших эти ошибки. Кроме того, в новом обозревателе несколько переработан механизм обработки зон безопасности и процедуры установки и запуска ActiveX компонентов.
Улучшения Outlook Express и Windows Messenger
Самым значительным изменением в этой области является реализованная в SP2 технология Attachment Execution Service (AES) – технология управления вложениями. Теперь, при обработке письма с вложениями, на основе расширения файла, его фактического содержимого, а также настроек зон безопасности, AES будет принимать решение о том, блокировать доступ к вложению или нет. Тем самым ставится дополнительная преграда для вирусов, пытающихся проникнуть в компьютер посредством электронной почты.
Поддержка соединений типа точка-точка (Windows Peer-to-Peer)
Децентрализованные сети позволяют более полно использовать возможности (вычислительные, хранение данных и т. д.) современных компьютеров за счет предоставления доступа к ним для других участников сети. Так, на базе децентрализованных P2P-сетей можно организовывать обмен аудио- и видеофайлами, передачу сообщений, групповые игры и т. д. Динамически формируемые P2P-сети также являются перспективным решением в совокупности с беспроводными сетями 802.11. После установки Service Pack 2 Windows XP будет поддерживать работу в режиме точка-точка с использованием компонента Windows Peer-to-Peer Networking. Правда, этот компонент отключен в стандартной конфигурации, и для того, чтобы его установить, придется воспользоваться мастером «Установки компонентов Windows» (компонент Peer-to-Peer).
Улучшения в работе с беспроводными устройствами
Добавлена поддержка Bluetooth-устройств. Поддерживаются IP-соединения, работа с Bluetooth-принтерами и HID-устройствами, использование Bluetooth сотовых телефонов в качестве модемов, обмен файлами с Bluetooth-устройствами и виртуальные COM-порты.
Значительным модификациям подверглась поддержка беспроводных сетей. Помимо нового мастера настройки, а также повышения уровня безопасности домашних сетей 802.11, Service Pack 2 для Windows XP включает в себя клиентскую часть нового серверного сетевого компонента – Wireless Provisioning Service (службы организации беспроводного доступа). WPS от Microsoft – решение проблемы организации беспроводного доступа в публичных местах. С помощью этой технологии провайдеры беспроводного доступа (кафе, аэропорты), интернет-провайдеры и крупные корпорации смогут легко и просто предоставить беспроводной доступ в Интернет (или к внутренней корпоративной сети) своим клиентам или сотрудникам. WPS поддерживает аутентификацию (PEAP,WPA), сервер RADUIS от Microsoft (IAS) и другие технологии Windows, что, собственно, и делает удобным использование этого компонента в сетях, построенных с использованием технологий Microsoft. Серверная часть WPS будет доступна в Windows 2003 Service Pack 1.
Изменения DireсtX и Windows Media
Здесь все достаточно просто и банально. В состав Windows XP SP2 входят проигрыватель Windows Media Player 9 и DirectX 9.0c
Поддержка новых языковых настроек
После установки SP2 в системе появляется поддержка более 20 новых региональных настроек. Теперь и без того внушительный список пополнился настройками для Хорватии, Сербии, Уэльса, Швеции, Финляндии, Норвегии и нескольких стран Южной Африки и Латинской Америки.
Как видите, список нововведений достаточно внушителен. Пакет обновлений затрагивает значительную часть системных компонент ОС, поэтому неудивительно, что возможны случаи, в которых после установки SP2 некоторые приложения перестанут работать, однако совершенно очевидно, что рано или поздно всем нам придется обновиться до уровня SP2, так что постараемся уменьшить негативные влияния этого процесса. Для этого попробуем просто последовать рекомендациям самой Microsoft. Итак.
Варианты установки Service Pack 2
Для установки Service Pack 2 домашними пользователями Microsoft рекомендует использовать узел Windows Update. Сначала с сайта обновлений скачивается экспресс-установщик, который затем загружает и устанавливает только те файлы, которые нужно обновить на данном компьютере.
Несколько иначе обстоит ситуация с пользователями корпоративными. Для них у софтверного гиганта есть масса рекомендаций и инструкций относительно того, как нужно устанавливать Service Pack 2. Согласно этим рекомендациям процесс установки должен быть тщательно спланирован и документирован (график и список работ, распределение обязанностей, тесты, отчеты и т. д.). Так, на одном из этапов предлагается создать тестовую лабораторию и проверить в ней работоспособность системы с установленным SP2. Не будем более подробно останавливаться на всех тонкостях, предлагаемых MS (благо для этого уже есть мегабайты соответствующей документации) и перейдем к практической части – установке SP2. Для корпоративных пользователей предусмотрено 3 варианта установки:
- Software Update Services (SUS) – свободно распространяемая платформа от Microsoft для установки критических обновлений.
- Systems Management Server (SMS) – коммерческая система от Microsoft для полного контроля над Windows-машинами, в том числе и установки обновлений и программ.
- Group Policy (GP) – стандартный компонент доменов Active Directory, также позволяющий установку ПО.
Прежде чем мы рассмотрим более подробно первый и третий способы (как наиболее часто используемые), несколько слов о системных требованиях для компьютеров с Service Pack 2. А они таковы:
- 128 Мб ОЗУ или больше (для XP без SP было 64 Мб);
- 500 Мб для пакета обновления;
- 260 Мб для создания временных файлов;
- 350 Мб для хранения файлов отката SP2;
- 30 Мб на загрузочном разделе (Ntldr, Boot.ini и Ntdetect.com).
Таким образом, Microsoft не отрицает, что система становится более требовательной к объему установленного ОЗУ, и не только к нему, так что неудивительно, если после установки пакета обновлений компьютер будет работать более медленно.
Установка через групповые политики
Для установки пакета обновлений используются возможности установки ПО в доменах Active Directory (технология IntelliMirror). Для того чтобы воспользоваться этим методом, не нужно ничего, кроме Active Directory, поэтому большинство организаций, особенно тех организаций, у которых нет существующей инфраструктуры SUS или SMS, скорее всего, будут использовать именно его.
Как известно, при установке ПО с использованием групповых политик, применяются файл-серверы. Именно на них размещаются устанавливаемые программы. Поэтому при установке SP2 необходимо убедиться в том, что на всех используемых файл-серверах есть необходимое дисковое пространство для хранения распакованного SP2. Кроме того, так как в процессе установки файлы загружаются на клиентский компьютер, необходимо, чтобы все клиенты имели надежное и быстрое сетевое соединение со своими файл-серверами. Так, в случае крупной организации при установке Service Pack 2 может использоваться следующая схема:
Рисунок 4
Как известно, при помощи групповых политик можно устанавливать только программы, распространяемые в виде .msi-файлов. Для Service Pack2 тaкой файл называется update.msi (расположен в папке %SP_DIR%/i386/update/ распакованного Service Pack2). Для того чтобы распаковать Service Pack 2 в папку c:sp2, нужно запустить его со следующими параметрами:
{путь к SP2} WindowsXP-KB835935-SP2-ENU.exe /u /x:c:sp2
При данном способе установки мы распаковываем Service Pack. Это дает нам возможность дополнительно настроить его (например, определить исключения для firewall) перед тем как он будет установлен на компьютеры пользователей.
Установка SP2 ничем не отличается от установки обычных программ через групповые политики. Единственное, необходимо иметь в виду, что установка должна быть определена в части политики, отвечающей за параметры компьютера (computer-assigned). Кроме того, настоятельно рекомендуется использовать фильтрацию. Так, используя фильтрацию WMI, можно, написав соответствующий запрос на языке WQL (WMI Query Language), определить компьютеры (ОС, количество памяти, свободное дисковое пространство и т. д.), к которым будет применяться данная политика. Данный вариант может быть несколько сложен, т.к. далеко не все системные администраторы знают WQL и могут с легкостью писать на нем запросы. Поэтому есть второй вариант – использование групп безопасности. Суть данного варианта сводится к тому, что администратор сам определяет, для каких машин домена должна произвестись установка SP2. Администратор создает группу безопасности и включает в нее учетные записи соответствующих машин. Далее, во вкладке security групповой политики он удаляет записи о группе Authentificated Users и добавляет свою группу машин с правами на чтение и применение данной политики:
Рисунок 5
После перезагрузки компьютеров, входящих в данную группу безопасности, на них будет установлен Service Pack 2.
Установка с использованием SUS
Данный способ рекомендуется использовать в том случае, если в целевой организации уже имеется инфраструктура SUS.
В зависимости от количества компьютеров, на которые нужно установить Service Pack 2, предлагаются следующие рекомендации:
- Если на один SUS-сервер приходится до 2000 компьютеров с ОС Windows XP, то никаких дополнительных действий предпринимать не нужно.
- Если на один SUS-сервер приходится более 2000 компьютеров, то рекомендуется либо разрешать установку только в течение определенного интервала времени (чтобы не вызвать перегрузки сервера), либо использовать ограничения IIS или BITS для определения максимального числа клиентов и выделяемой для них пропускной способности сети.
Установка Service Pack 2 с использованием SUS производится точно так же, как и установка критических обновлений:
- Обновления загружаются с корневого узла Windows Update (или SUS).
- Для каждого обновления администратор разрешает его установку для подключающихся к SUS-серверу клиентов.
- Используя групповые политики, администратор для различных организационных единиц определяет SUS-серверы, с которых компьютеры будут устанавливать обновления.
- В течение 24-48 часов Service Pack 2 устанавливается на все клиентские компьютеры.
Так как при использовании SUS-сервера пакет доставляется на компьютеры в запакованном виде, нельзя предварительно настроить компоненты Service Pack.
Запрет установки Service Pack 2
18 августа Service Pack 2 для Windows XP появился на сайте WindowsUpdate. Таким образом, он стал доступен для клиентов автоматического обновления, которые незамедлительно начали его устанавливать. Для тех корпоративных пользователей, которые пока не хотели устанавливать SP2 (до завершения окончательного корпоративного тестирования), но хотели по-прежнему пользоваться WindowsUpdate для установки критических обновлений Microsoft опубликовала документ, описывающий, как можно временно (до 8 месяцев) запретить установку Service Pack 2 на компьютеры, подключенные к WindowsUpdate. Предлагаются следующие способы запрета установки Service Pack 2:
- Применяя специальный шаблон групповой политики. На сайте Microsoft имеется соответствующий adm-файл (NoXPSP2Update.adm), используя который, администратор может запретить установку Service Pack 2 на компьютерах, входящих в домен Active Directory.
- Используя исполняемый файл или скрипт Visual Basic. Этот способ подходит для организаций, в которых нет инфраструктуры Active Directory. Запрет или разрешение установки SP2 определяется параметрами, с которыми запускается исполняемый файл.
- C помощью электронной почты. Администратор посылает письмо, содержащее URL, пользователи (с правами локального администратора), открыв это письмо и перейдя по ссылке, блокируют установку SP2. Для того чтобы опять разрешить установку (после того как все возможные проблемы будут решены), достаточно послать новое письмо с другим URL, отменяющим запрет установки.
Необходимо отметить, что запрет установки является временной мерой и через 8 месяцев (начиная с 16 августа) этот запрет автоматически перестанет действовать.
Файлы, необходимые для запрета установки SP2, можно загрузить отсюда:
Windows Firewall
Windows Firewall является одним из основных, и как показывает практика, одним из самых проблемных нововведений SP2. Многие неудобства, возникающие при работе программ на Windows XP SP2, вызваны именно тем, что передаваемые ими данные блокируются новым брандмауэром Windows, который после установки SP2 по умолчанию оказывается включен. Однако ситуация более чем исправима – работу Windows Firewall можно легко и быстро настроить, используя методы, предлагаемые производителем.
В отличие от своего предшественника (ICF) у Windows Firewall есть не один, а несколько интерфейсов для настройки. Самый простой в использовании и доступный для большинства пользователей – графический интерфейс, вызываемый через «Панель управления –> Брандмауэр Windows»:
Рисунок 6
Здесь вы можете определить настройки брандмауэра непосредственно на данном компьютере. Кроме того, настройки можно изменять и во время работы. При попытке приложения обратиться к сетевому ресурсу, Windows Firewall покажет соответствующий диалог, в котором вы можете либо разрешить, либо запретить обращение для данного приложения.
Однако для крупных корпоративных клиентов, имеющих сотни и тысячи компьютеров, способ интерактивной настройки брандмауэра абсолютно неприемлем. Наиболее эффективным способом управления настройками Windows Firewall на большом количестве компьютеров является использование групповых политик. Настройки Windows Firewall имеются в новых шаблонах и доступны в следующем месте: «Конфигурация компьютера –> Административные шаблоны –> Network –> Network Connections –> Windows Firewall».
Открыв этот раздел, мы увидим два профиля настроек – Domain Profile и Standard Profile. Эти профили особенно интересны для компаний, в которых сотрудники пользуются ноутбуками (см. рис. 7).
Рисунок 7
Так, когда переносной компьютер работает внутри корпоративной сети, для его настройки используются параметры, определяемые в Domain Profile. Как только компьютер теряет связь с Active Directory (работник оказывается за пределами корпоративной сети), вступают в силу настройки из Standard Profile. Благодаря этим профилям можно дополнительно обезопасить корпоративную сеть от вирусов и червей, проникающих в нее через портативные компьютеры сотрудников, определив более «жесткие» настройки firewall в стандартном профиле.
Используя поставляемые Microsoft шаблоны, можно определить следующие аспекты поведения Windows Firewall:
- Как обрабатывать IPSec-трафик.
- Задать исключения для программ и портов.
- Определить, какие настройки смогут добавлять локальные пользователи.
- Настройка обработки ICMP-запросов.
- Настройка работы нескольких предопределенных служб (RDP,UPnP и др.).
- Конфигурация журналирования.
- Использовать или нет списки исключений.
- Состояние службы Windows Firewall.
Таким образом, через групповые политики администраторы могут полностью настроить firewall в соответствии с требованиями политики безопасности предприятия.
Однако иногда бывает невозможно использовать этот вариант (отсутствует инфраструктура AD, используется Windows XP Home Edition, и т. д.). В этих случаях можно воспользоваться другими способами настройки. Если для установки SP2 пользователи используют распакованный дистрибутив, находящийся на общедоступном сетевом диске, то параметры, с которыми будет запущен Windows Firewall, можно определить в файле netfw.in_, находящемся в папке i386.Так, для того чтобы автоматически отключить Windows Firewall после установки SP2 (например, если в организации не используются host-firewall или используются firewall третьих фирм) нужно добавить в этот файл следующую строку в секцию стандартного профиля:
HKLM,"SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyDomainProfile", "EnableFirewall",0x00010001,0
Подробное описание по возможным настройкам, определяемым в inf-файле, можно найти в документе «Using the Windows Firewall INF File in Microsoft Windows XP Service Pack 2»: http://www.microsoft.com/downloadsdetails.aspx?Family ID=cb307a1d-2f97-4e63-a581-bf25685b4c43&displaylang=en.
Если же SP2 уже установлен на компьютеры пользователей, используемые программы перестали работать и в организации нет домена, то можно воспользоваться интерфейсом конфигурирования через сетевую оболочку netsh.exe («Пуск –> Выполнить –> netsh.exe»).
Для конфигурирования брандмауэра используется контекст firewall. Используя эту утилиту, можно изменять все параметры, доступные для настройки через групповые политики. Кроме того, можно написать cmd-скрипт, после выполнения которого на компьютере будут установлены корпоративные настройки брандмауэра. Далее этот файл можно разместить на сетевом диске или отправить по почте администраторам подразделений.
К сожалению, Windows Firewall не лишен недостатков. Так, с его помощью невозможно блокировать исходящий трафик (правда, это можно сделать с помощью IPSec).
Групповые политики
Обновление шаблонов
После установки SP2 в Windows XP появляются новые компоненты, управлять которыми можно через групповые политики. Дополнительные настройки (более 600 настроек) содержатся в новых административных шаблонах.
Администратор сможет использовать новую функциональность SP2 сразу же после обновления административных шаблонов на контроллерах домена. Для проведения обновления воспользуемся консолью управления групповыми политиками (Group Policy Management Console), доступной для загрузки по адресу: http://go.microsoft.com/fwlink/?LinkId=21813 (см. рис. 8).
Рисунок 8
- Установите SP2 на одном из компьютеров домена.
- Перезагрузите компьютер и войдите в систему под учетной записью администратора домена, администратора предприятия или члена группы «Владельцы и создатели групповой политики».
- Установите gpmc.msi.
- Откройте консоль gpmc (Пуск –> Панель управления –> Администрирование –> Group Policy Management).
- Подключитесь к домену, шаблоны на котором необходимо обновить. Для этого нажмите Действие –> Add Forest и в появившемся окне введите имя домена.
- Откройте папку Group policy objects, содержащую все объекты групповой политики домена.
- Откройте для редактирования (правая кнопка, Edit) все политики, шаблоны которых вы хотите обновить.
Через некоторое время (20-30 минут) новые шаблоны будут реплицированы на остальные контроллеры домена. Если вы хотите ускорить этот процесс, то можете вручную провести репликацию контроллеров домена Active Directory с помощью оснастки Active Directory Sites and Services, которая имеется на всех компьютерах домена, а также на рабочих станциях с установленными «Windows Server 2003 Administration Tools Pack» (adminpack.msi, находится на установочном компакт-диске Server 2003). После обновления шаблонов групповой политики компьютеры с Windows 2000, 2003, XP, XP SP1 не смогут их редактировать.
Описание решения этой проблемы и соответствующие исправления можно найти в следующей статье knowledge base: http://support.microsoft.com/default.aspx?kbid=842933.
Новые возможности
Для управления новыми компонентами Windows XP применяются обновленные административные шаблоны. С их помощью можно глобально определить используемые в организации расширения Internet Explorer, правила работы с зонами безопасности, отображать или нет информационную панель и т. д. («Administrative templates –> Windows Components –> Internet Explorer –> Security Features»). Также имеются возможности настройки параметров безопасности RPC/DCOM, клиента автоматического обновления, менеджера управления почтовыми вложениями (AES), центра безопасности, Windows Firewall, клиента служб терминалов, проигрывателя Windows Media 9, новых сетевых компонентов Windows XP (BITS 2.0, P2P) и т. д. Документ, подробно описывающий новые возможности настройки групповых политик Windows XP SP2, можно найти по адресу: http://go.microsoft.com/fwlink/?LinkId=31974.
Подробное описание всех параметров, конфигурируемых через групповые политики в формате Excel, можно найти здесь: http://go.microsoft.com/fwlink/?linkid=22031. Этот файл по праву можно считать «библией» администратора, использующего групповые политики. Помимо полного описания действий всех политик в нем также приводятся пути реестра, используемые при конфигурации того или иного компонента Windows.
Проблемы с Service Pack 2
Согласно информации из базы знаний Microsoft, подавляющее большинство проблем, связанных с SP2, вызваны Windows Firewall. Точнее говоря, не с самим Windows Firewall, а сетевыми программами, которые он блокирует. Путь решения таких проблем прост – либо настроить firewall, добавив в него разрешение (в стандартной конфигурации firewall сам покажет соответствующий диалог) для соответствующей программы, либо, если политика безопасности предприятия это позволяет, попросту его отключить или использовать firewall от третьей фирмы.
Из серьезных проблем, не связанных с брандмауэром, можно отметить несовместимость с программами SonicWALL Antivirus, Command AntiVirus, менеджер логина bootskin, Quicken Deluxe 2001. Также возникают некоторые проблемы при работе с оборудованием. Так, в knowledge base имеется информация о том, как установить драйверы для ADLS USB модемов ZyXEL и BeWAN и устранить проблемы, возникающие из-за драйверов сканеров UMAX. Кроме того, имеются некоторые особенности при работе с SCSI RAID контроллерами от 3ware.
Отдельно следует отметить проблемы, вызванные несовместимостью некоторых программ с технологией NX. Указывается, что ошибки могут возникать при работе с эмуляторами Windows CE и Virtual PC 4.x. В некоторых случаях для решения этих проблем достаточно внести необходимое приложение в список исключений для DEP, хотя хотя возможно, что в некоторых случаях может потребоваться обновленная версия программы.
От себя же могу добавить, что серьезных проблем с Windows XP после установки SP2 лично у меня пока не было. Была одна проблема при установке на компьютер с внешним RAID-контроллером HighPoint (компьютер ушел в вечную перезагрузку). Однако, скорее всего, она была вызвана установленными на компьютере программами, потому как последующая переустановка системы с компакт-диска прошла без малейших проблем.
Заключение
Итак, Service Pack 2, безусловно, можно считать эпохальным событием в области компьютерной безопасности. Очередной пакет обновлений включает в себя не только критические обновления различных компонент ОС Windows, но и привносит новую функциональность (с обязательной поддержкой централизованного управления) самой популярной на сегодняшний день десктоп-системе – Windows XP. Кроме того, в его состав входят компоненты, призванные «поднять» планку безопасности и поставить дополнительные преграды на пути хакеров и вирусописателей.
Приложение
Создание загрузочного диска с Windows XP SP 2
Пакет обновлений можно интегрировать в дистрибутив Windows XP. Для этого выполните следующие действия:
- Скопируйте дистрибутив Windows XP в c: empxp.
- Распакуйте SP2 в папку c: empsp2.
- Выполните следующую команду:
c:\temp\sp2\i386\update\update.exe /Integrate:c:\temp\xp
После завершения мастера вы получите дистрибутив Windows XP с интегрированным Service Pack 2.
Далее находим в Интернете загрузчик cdboot.bin (например, здесь http://argon.com.ru/download/cdboot.bin.zip) и запускаем программу Nero Burning ROM.
Создаем загрузочный компакт-диск со следующими параметрами (см. рис. 9, 10):
Рисунок 9
Рисунок 10
На вкладке «Label» для полей Volume label, System Identifier, Volume Set и Application введите WXPVOL_EN. В поля Publisher и Data Preparer введите MICROSOFT CORPORATION.
На вкладке Burn выберите метод записи Disc-At-Once/96 и нажмите New.
Далее перетаскиваем файлы дистрибутива в окно компакт-диска, записываем (если нужно) свои файлы и папки (например с MUI) и нажимаем burn (см. рис. 11):
Рисунок 11
Если все было сделано правильно, то полученный диск будет загрузочным, однако лучше все же сначала проверить работоспособность дистрибутива на диске CD-RW.
Вместе с Service Pack2 также вышли обновленные support tools и deploy tools. Поэтому перед записью диска не забудьте обновить эти утилиты новыми версиями с сайта Microsoft.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|