對這文章發表回應
發表限制: 非會員 可以發表
發表者: 冷日 發表時間: 2004/8/18 1:18:13
Windows XP SP2安全大改版
不只補漏洞,網路安全防護能大增
Windows XP SP2主要增強Widnows XP的網路防護、記憶體保護、電子郵件安全及瀏覽安全,強化系統對抗惡意攻擊的整體防禦能力。
網路保護包括改良過的Windows防火牆,更小的RPC(Remote Procedure Call,遠端程式呼叫)攻擊表面,並限制DCOM(Distributed Component Object Model,分散式元件物件模式)的存取控制,降低網路攻擊的成功率。
Windows防火牆的架構與設定改變
在SP2之前,Windows XP的防火牆(網際網路連線防火牆,ICF)預設狀態為關閉,使用者必須自行開啟,但改良後的Windows防火牆預設即為開啟,並且關閉所有的通訊埠,直到應用程式需要傳送資料時才會開啟,防護電腦免於病毒及其他安全性威脅的危害。SP2新增特定程式阻檔功能,若是某個程式被懷疑感染病毒,系統會拒絕執行該程式檔,防止病毒入侵系統。
Windows防火牆的操作介面設定簡單,能夠根據所在環境調整不同的設定值,企業則可透過「群組原則」進行管理,功能比原先的防火牆更好,當然更是比沒有防火牆來的好。疾風病毒是利用電腦開機載入程式與防火牆啟動之間的空檔趁虛而入,為了改善安全性,Windows防火牆是系統開機時第一個啟動的程式。
在系統進行更新或還原後,Windows防火牆仍會自行啟動,但在入侵防護及對外流量的監控上,Windows防火牆還是沒有市面上的個人防火牆來的好,Symantec Personal Firewall 2004、Zone Labs Integrity或Zone Alarm 5.0 Pro的防護都比Windows防火牆好。
軟硬體合力抗毒
某些惡意程式會利用軟體的安全性漏洞(緩衝區溢出,Buffer Overrun)進行攻擊,將大量的資料複製到電腦的記憶體當中,微軟提供幾項安全技術來減輕這些攻擊的影響,包括重新編譯核心的Windows元件,並與處理器廠商合作,支援硬體執行的DEP(Date Execution Prevention,資料執行保護)。
DEP是利用處理器的NX(No eXecute)功能,將某些記憶體區域標註為不可執行,任何進入該區域的程式碼都將無法執行。與防火牆或防毒軟體不同的是,DEP並不會防止惡意執行安裝在電腦上,它是用來防止病毒和其他安全威脅在受保護的記憶體位置上執行惡意程式碼。
但要注意,不是所有的作業系統和處理器都支援DEP,目前DEP只支援Windows XP SP2及Windows Server 2003 SP1,而且處理器必須具備NX功能,例如AMD Athlon 64、AMD Opteron、Intel Itanium及Intel Itanium 2。另外,DEP功能搭配AMD的強化病毒防護(Enhanced Virus Protection)技術,可讓某些病毒失效,特別是針對緩衝區溢出漏洞所設計的病毒。
IE影響廣泛,但替代方案也不少
SP2會拖延這麼久才推出,IE瀏覽器是其中一個重要因素,因為它將影響大量的網頁和Web應用程式,包括ActiveX控制項、下載、彈出式視窗等應用,IE預設都是阻擋的。Add-On Manager是新增的功能,它可以顯示電腦被載入的那些項目,防止惡意的 ActiveX控制項和間諜軟體,在未經過使用者同意前,就在系統上執行。
SP2也提供新的附件管理員,禁止使用者開啟不安全的檔案,增強Outlook Express、Windows Messenger 及 IE的安全性。當使用者開啟Outlook Express的附件檔時,系統會彈出一個警示視窗,讓使用者選擇是否執行,如果是從網站下載檔案,IE也具有相同的管理功能。另外,IE會執行MIME類型檢查,要求Web伺服器所提供的文件類型(Content-Type)必須與實際檔案類型一致,例如文件類型是text/plain,但實際是MIME sniff類型,那麼IE將會重新命名後再處理。
新版IE瀏覽器可能會與某些網頁及應用程式產生衝突,企業最好先行檢測網站內容是否能夠正常瀏覽。此外,可能是微軟忙著修補IE的漏洞,而疏於增加新功能,所以IE並沒有像Mozilla Firefox 及Opera等瀏覽器具備多視窗瀏覽功能,所以有不少人早就棄IE而選擇其他替代方案。
之前Outlook Express會處理HTML郵件檔頭的Script,很容易受到惡意程式碼攻擊,因此SP2可以用純文字模式讀取郵件,並且自動限制HTML下載,降低電子郵件附件所帶來的安全威脅。Windows Messenger服務預設為關閉狀態。
集安全防護於一身
資訊安全中心(Windows Security Center)是SP2最顯而易見的新功能,它將基本的安全設定全都集中在一起,包括防火牆是否開啟、防毒軟體是否正常運作,以及是否自動更新軟體,讓使用者能夠一目了然。
當安裝完成SP2後,資訊安全中心會依據系統風險狀態提出安全警告,如果紅色的風險警示一直存在,代表使用者的電腦是處於不安全狀態。要注意的是,如果電腦已經加入企業的網域,那麼電腦的安全性設定是由系統管理員統一控管。系統管理員必須規畫適合的安全政策,包括各個電腦的Windows 防火牆是否開啟,線上自動更新搭配企業內部的SUS(Software Update Services),以及如何配置防毒系統。
比較特別的是,即使我們已經安裝防毒軟體,或是開啟/關掉Windows防火牆,但是安全中心仍然無法顯示正確的狀態,也許這是RC2的問題之一,希望正式版能夠解決。
經過測試,在防毒軟體偵測方面,Trend Micro PC-Cillin Internet Security、McAfee VirusScan、Panda Software Platinum 7.0及Kaspersky Anti-Virus 5.0都可以正確偵測,但Symantec Norton AntiVirus 2004、Panda Software Titanium Antivirus 2004及Zone Labs ZoneAlarm Security Suite 5.0則無法偵測。Symantec和Zone Labs等廠商都將推出更新檔,以讓Windows XP SP2能夠正確偵測出防毒軟體。
資訊安全中心只能夠提供基本的安全警訊,能夠正確辦認某些第三方的應用程式,提醒你有哪些危險及威脅,但它並非萬靈藥,所以對於廣告軟體、間諜程式及木馬等威脅,並沒有幫助。
有續傳功能的Windows Update
以前,Windows Update只提供Windows系統及相關元件(IE、Windows Media Player、Windows Messenger)的更新,現在則新增應用程式(Office、SQL Server及Exchange)及硬體驅動程式的更新。而且隨著SP2的推出,微軟也發布新版的 Windows Update v5,除了介面改變,更增加續傳功能,當更新檔下載過程被中斷時,它會從下載的停止點重新開始,而不是重新下載。
在Windows Update v4更新時,所有的更新檔會存放在一個WUtemp資料夾中,當更新完畢重新開機後,該資料夾的內容也會被清空,但Windows Update v5更新時,更新檔則存放在WINDOWSSoftwareDistributionDownload中,更新完成後,下載的更新檔不會被刪除,只要加上副檔名「.RAR」,解壓縮後即可離線更新。此外,微軟也修改SP2修正檔的下載方式,使用者不需下載整個更新安裝檔,只需要下載檔案變動的部分,估計約可縮短80%的下載時間,對於使用撥接數據機下載修正檔的使用者,可說是一大利多,相信可以增加家庭用戶更新系統的意願。
目前Windows Update v5只支援Windows XP,未來可能會支援Windows 2000及Windows Server 2003,但Windows 98則只能使用Windows Update v4。
最後,我們仍要提醒大家,雖然SP2提供許多新的安全功能,但必須要開啟才會有效用,以自動更新為例,它是一個很實用的功能,但如果有人關閉這個功能,卻又忘記定期進行更新,發生問題時才怪MIS沒有通知,或微軟漏洞一堆,似乎都不應該。同樣的,防火牆和防毒軟體都是系統必備的防護工具,不要貪圖一時方便,而造成更大的傷害。文⊙陳世煌
不只補漏洞,網路安全防護能大增
Windows XP SP2主要增強Widnows XP的網路防護、記憶體保護、電子郵件安全及瀏覽安全,強化系統對抗惡意攻擊的整體防禦能力。
網路保護包括改良過的Windows防火牆,更小的RPC(Remote Procedure Call,遠端程式呼叫)攻擊表面,並限制DCOM(Distributed Component Object Model,分散式元件物件模式)的存取控制,降低網路攻擊的成功率。
Windows防火牆的架構與設定改變
在SP2之前,Windows XP的防火牆(網際網路連線防火牆,ICF)預設狀態為關閉,使用者必須自行開啟,但改良後的Windows防火牆預設即為開啟,並且關閉所有的通訊埠,直到應用程式需要傳送資料時才會開啟,防護電腦免於病毒及其他安全性威脅的危害。SP2新增特定程式阻檔功能,若是某個程式被懷疑感染病毒,系統會拒絕執行該程式檔,防止病毒入侵系統。
Windows防火牆的操作介面設定簡單,能夠根據所在環境調整不同的設定值,企業則可透過「群組原則」進行管理,功能比原先的防火牆更好,當然更是比沒有防火牆來的好。疾風病毒是利用電腦開機載入程式與防火牆啟動之間的空檔趁虛而入,為了改善安全性,Windows防火牆是系統開機時第一個啟動的程式。
在系統進行更新或還原後,Windows防火牆仍會自行啟動,但在入侵防護及對外流量的監控上,Windows防火牆還是沒有市面上的個人防火牆來的好,Symantec Personal Firewall 2004、Zone Labs Integrity或Zone Alarm 5.0 Pro的防護都比Windows防火牆好。
軟硬體合力抗毒
某些惡意程式會利用軟體的安全性漏洞(緩衝區溢出,Buffer Overrun)進行攻擊,將大量的資料複製到電腦的記憶體當中,微軟提供幾項安全技術來減輕這些攻擊的影響,包括重新編譯核心的Windows元件,並與處理器廠商合作,支援硬體執行的DEP(Date Execution Prevention,資料執行保護)。
DEP是利用處理器的NX(No eXecute)功能,將某些記憶體區域標註為不可執行,任何進入該區域的程式碼都將無法執行。與防火牆或防毒軟體不同的是,DEP並不會防止惡意執行安裝在電腦上,它是用來防止病毒和其他安全威脅在受保護的記憶體位置上執行惡意程式碼。
但要注意,不是所有的作業系統和處理器都支援DEP,目前DEP只支援Windows XP SP2及Windows Server 2003 SP1,而且處理器必須具備NX功能,例如AMD Athlon 64、AMD Opteron、Intel Itanium及Intel Itanium 2。另外,DEP功能搭配AMD的強化病毒防護(Enhanced Virus Protection)技術,可讓某些病毒失效,特別是針對緩衝區溢出漏洞所設計的病毒。
IE影響廣泛,但替代方案也不少
SP2會拖延這麼久才推出,IE瀏覽器是其中一個重要因素,因為它將影響大量的網頁和Web應用程式,包括ActiveX控制項、下載、彈出式視窗等應用,IE預設都是阻擋的。Add-On Manager是新增的功能,它可以顯示電腦被載入的那些項目,防止惡意的 ActiveX控制項和間諜軟體,在未經過使用者同意前,就在系統上執行。
SP2也提供新的附件管理員,禁止使用者開啟不安全的檔案,增強Outlook Express、Windows Messenger 及 IE的安全性。當使用者開啟Outlook Express的附件檔時,系統會彈出一個警示視窗,讓使用者選擇是否執行,如果是從網站下載檔案,IE也具有相同的管理功能。另外,IE會執行MIME類型檢查,要求Web伺服器所提供的文件類型(Content-Type)必須與實際檔案類型一致,例如文件類型是text/plain,但實際是MIME sniff類型,那麼IE將會重新命名後再處理。
新版IE瀏覽器可能會與某些網頁及應用程式產生衝突,企業最好先行檢測網站內容是否能夠正常瀏覽。此外,可能是微軟忙著修補IE的漏洞,而疏於增加新功能,所以IE並沒有像Mozilla Firefox 及Opera等瀏覽器具備多視窗瀏覽功能,所以有不少人早就棄IE而選擇其他替代方案。
之前Outlook Express會處理HTML郵件檔頭的Script,很容易受到惡意程式碼攻擊,因此SP2可以用純文字模式讀取郵件,並且自動限制HTML下載,降低電子郵件附件所帶來的安全威脅。Windows Messenger服務預設為關閉狀態。
集安全防護於一身
資訊安全中心(Windows Security Center)是SP2最顯而易見的新功能,它將基本的安全設定全都集中在一起,包括防火牆是否開啟、防毒軟體是否正常運作,以及是否自動更新軟體,讓使用者能夠一目了然。
當安裝完成SP2後,資訊安全中心會依據系統風險狀態提出安全警告,如果紅色的風險警示一直存在,代表使用者的電腦是處於不安全狀態。要注意的是,如果電腦已經加入企業的網域,那麼電腦的安全性設定是由系統管理員統一控管。系統管理員必須規畫適合的安全政策,包括各個電腦的Windows 防火牆是否開啟,線上自動更新搭配企業內部的SUS(Software Update Services),以及如何配置防毒系統。
比較特別的是,即使我們已經安裝防毒軟體,或是開啟/關掉Windows防火牆,但是安全中心仍然無法顯示正確的狀態,也許這是RC2的問題之一,希望正式版能夠解決。
經過測試,在防毒軟體偵測方面,Trend Micro PC-Cillin Internet Security、McAfee VirusScan、Panda Software Platinum 7.0及Kaspersky Anti-Virus 5.0都可以正確偵測,但Symantec Norton AntiVirus 2004、Panda Software Titanium Antivirus 2004及Zone Labs ZoneAlarm Security Suite 5.0則無法偵測。Symantec和Zone Labs等廠商都將推出更新檔,以讓Windows XP SP2能夠正確偵測出防毒軟體。
資訊安全中心只能夠提供基本的安全警訊,能夠正確辦認某些第三方的應用程式,提醒你有哪些危險及威脅,但它並非萬靈藥,所以對於廣告軟體、間諜程式及木馬等威脅,並沒有幫助。
有續傳功能的Windows Update
以前,Windows Update只提供Windows系統及相關元件(IE、Windows Media Player、Windows Messenger)的更新,現在則新增應用程式(Office、SQL Server及Exchange)及硬體驅動程式的更新。而且隨著SP2的推出,微軟也發布新版的 Windows Update v5,除了介面改變,更增加續傳功能,當更新檔下載過程被中斷時,它會從下載的停止點重新開始,而不是重新下載。
在Windows Update v4更新時,所有的更新檔會存放在一個WUtemp資料夾中,當更新完畢重新開機後,該資料夾的內容也會被清空,但Windows Update v5更新時,更新檔則存放在WINDOWSSoftwareDistributionDownload中,更新完成後,下載的更新檔不會被刪除,只要加上副檔名「.RAR」,解壓縮後即可離線更新。此外,微軟也修改SP2修正檔的下載方式,使用者不需下載整個更新安裝檔,只需要下載檔案變動的部分,估計約可縮短80%的下載時間,對於使用撥接數據機下載修正檔的使用者,可說是一大利多,相信可以增加家庭用戶更新系統的意願。
目前Windows Update v5只支援Windows XP,未來可能會支援Windows 2000及Windows Server 2003,但Windows 98則只能使用Windows Update v4。
最後,我們仍要提醒大家,雖然SP2提供許多新的安全功能,但必須要開啟才會有效用,以自動更新為例,它是一個很實用的功能,但如果有人關閉這個功能,卻又忘記定期進行更新,發生問題時才怪MIS沒有通知,或微軟漏洞一堆,似乎都不應該。同樣的,防火牆和防毒軟體都是系統必備的防護工具,不要貪圖一時方便,而造成更大的傷害。文⊙陳世煌