 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1671219
位訪客!
登入 | 註冊
|
|
|
|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2004/9/11 2:06 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [新聞]Windows XP SP2爭議不斷
- Windows XP SP2爭議不斷
SP2解決用戶問題,還是製造更多新的問題?
8月6日微軟發表Windows XP Service Pack 2 的RTM(Release To Manufacturing)準正式版本,截至目前為止,下載中心已提供正體中文在內等6種語言的版本,供IT專業人員和開發人員使用。微軟接下來2個月內會陸續提供25種語言的XP SP2,用戶皆可經由下載、零售、免費光碟或是購買新的電腦時取得。微軟希望經由自動更新將SP2散布到全球1億部個人電腦。
企業要求阻擋自動更新
即使微軟十分強調XP SP2的安全強化功能,事實上還是新環境影響到許多軟體的功能,事關軟體執行的相容性。有些擁有眾多個人電腦的企業,要求微軟可以提供工具,暫時停用使用者從自動更新和Windows Update網站下載SP2的功能,為MIS人員多爭取一些測試驗證的時間。微軟表示他們只會在8月16日以後為期4個月內限制自動更新,之後就要全部發布到Windows XP的系統中。
微軟公布3種方法阻擋個人電腦自動更新XP SP2,一種是利用群組原則,微軟會提供SP2專用的系統管理範本;如果企業沒有建置群組原則的環境,微軟會發行相關的Windows執行檔,目前已經釋出XPSP2BlockerTools. EXE,以及範例VBS檔,可用命令列搭配參數執行。
資訊安全中心有漏洞
XP SP2的資訊安全中心會顯示個人電腦的防火牆、作業系統更新與防毒等重要防禦系統的狀態,這些資訊儲存在WMI(Windows Management Instrumentation)管理的內部資料庫中,為了SP2,微軟在WMI資料庫增加新的欄位和記錄,以追蹤上述的安全資訊。Windows系統大部分都內建WMI,而WMI也是微軟開發的網頁化企業管理架構(Web-based Enterprise Management,WBEM)實作標準。
有外電指出,存取資料時,SP2的資訊安全中心很有可能不自覺地允許攻擊者利用WMI,直接擾亂或操弄使用者作業系統的安全狀態,例如感染系統,將電腦變成發送垃圾郵件或其他用途的跳板。
由於任何應用程式都可以透過WBEM API存取WMI資料庫,包括桌面應用程式、網頁Script和ActiveX元件,因此很有可能發生這種狀況︰使用者到一個惡意網站存取網頁或檔案時,對方可以透過IE拖放的漏洞,讓檔案在執行時同步存取WMI,這些網站甚至能夠像資訊安全中心一樣,存取瀏覽者個人電腦的安全狀態。另一方面因為WMI資料庫檔案狀態並未設成唯讀,攻擊程式導致防毒或防火牆停用後,還可以潛入WMI資料庫篡改安全產品的啟用狀態,假裝更新或啟用,逃避偵測。因為WMI資料庫並不涉及產品真正的狀態檢測,WMI資料庫怎麼記錄,資訊安全中心就很老實地相信裡面的記錄。
再加上MSDN網站有詳盡的WMI和WBEM文件,有人批評種種的「巧合」,等於給了駭客入侵的相關路徑、門和鑰匙。
微軟反駁這項說法,他們表示要透過WMI欺騙資訊安全中心必須要有系統管理權限,駭客也會採取更直接的方式關閉防火牆或防毒軟體。然而沒有人能夠充分掌握駭客怎麼思考,在當下駭客可以只做到卸除對方電腦的防禦,不一定要立即攻擊,以後再說或是將這種不設防的電腦留給其他入侵行動。至於電腦的管理權限,企業一般使用者或許可以倖免,然而XP家用版安裝後,使用者預設就是管理者權限,很少人會主動降低自己的本機使用權限。雖然WMI和資訊安全中心的問題,並不是一個直接的漏洞,對家用版使用者或是有本機管理權限的企業使用者而言,這些架構上的問題還是很大的風險。
軟體不相容,支援廠商也跳腳
微軟宣稱XP SP2新功能的資訊安全中心、資料執行防止,得力於他們與防毒及處理器廠商的密切合作,戴爾、惠普和IBM 在9、10月個人電腦出貨時,作業系統都會預先裝入Windows XP SP2。
微軟也引用11家廠商的相容性保證聲明,表示產品可以確保SP2可以帶給彼此客戶之間的平順的使用經驗。防毒的廠商與產品佔多數,其中賽門鐵克聲稱支援SP2的產品最多,包括個人版與企業版防毒軟體到磁碟修復工具,軟體開發商支援的有Borland和昇陽。
雖然目前有不少廠商表態支援XP SP2,但根據微軟知識庫842242和884130兩分文件顯示,將近50套軟體(含不同版本)在安裝XP SP2後停止運作,調整Windows防火牆,手動開啟網路埠即可,而近40種軟體在XP SP2環境會有部分功能失效的狀況,這裡面就包括AOL、CA、IBM、Kaspersky Lab、Symantec、Zone Labs的產品,甚至微軟自己的Virtual PC 2004也有問題。微軟口口聲聲說開發期間和其他廠商有協同合作,等到SP2發表之後,卻發生這麼多軟體不相容的問題,不管微軟或是支援廠商,SP2發表時的各種支援性聲明言猶在耳,只是意味著「我們決定支援,正在進行開發中」,不禁讓人質疑廠商與微軟是否真的有協同合作。
為此,微軟最近又公布一份「應用程式相容性緩和與測試指南」的文件,企圖解決軟體不相容的問題。微軟接下來也會發布SP2的平臺軟體開發工具包(PSDK),預計可以提供更完整的Windows API文件、範例、工具和函式庫給應用程式開發人員參考。
另一項問題是XP SP2內建的資訊安全中心無法正常偵測到許多資安產品的狀態,包括上述聲稱支援XP SP2的廠商與產品。
以賽門鐵克為例,他們希望用戶先更新手上的產品,再安裝SP2。外電提到賽門鐵克產品的分享測試人員和群組產品經理都表示,群組大量部署專門針對SP2的本身產品更新並非易事,得透過SMS、HP OpenView、IBM Tivoli、ZenWorks,或是賽門鐵克提供的NT Remote遠端安裝程式,Live Update 2.0應該也可以奏效,如果更新的電腦是混合使用的用戶端環境可能會遇上一些問題。完成產品更新支援SP2後,賽門鐵克下一步會重建所有軟體的版本。
由此可知,廠商即使發表聲明支援XP SP2,真相其實是從SP2 RTM發表後才陸續就定位。個人使用者或企業用戶如果要考慮部署XP SP2,或者購買新的電腦,我們建議最好企業或個人先整理出一份應用程式清單,審慎考量SP2安裝、應用程式相容性、安全性、IT人員的管理能力和工具等因素之後,再部署,後續管理問題可以減少很多。文⊙李宗翰
|
|
|
|
|
|
