【資訊】WinXP SP2安全功能大躍進--但有代價 <轉載>

[Dendron 10]

WinXP SP2安全功能大躍進--但有代價

John McCormick．唐慧文譯　　2004/06/28

概述

Windows XP SP2（第二版更新服務包）的發布象徵作業系統生命歷程的一大里程碑。微軟使出渾身解數加強安全性，但也因此而產生諸多問題，因為SP2為安全起見，不再那麼強調與舊式系統和軟體的回溯相容性。系統管理人員必須事先了解，SP2會為內部網路中的Windows XP系統帶來什麼樣的影響。

--------------------------------------------------------------------------------

本文資料乃根據Windows XP Service Pack 2 RC1（第一號發布候選者）所作的評析。該軟體正式發布時可能略有修改，但本文談到的內容大體上仍適用。

--------------------------------------------------------------------------------

細節

Windows XP SP2會大幅改善XP幾乎各方面的安全性預設環境，從電子郵件到網頁瀏覽乃至於防護常見的緩衝區溢滿（buffer overrun）問題皆然。但要引進這種種安全改良功能，免不了得忍受一些不小的麻煩。ZDNetUK最近報導，微軟承認，每十種應用程式中，就會有一種因為SP2更新而發生問題（我個人認為這是保守的估計）。

以下是XP SP2一些最重要的安全設定改變：

「網際網路連線防火牆」（ICF）如今的預設值為開啟，對蘇活族（SOHO）用戶而言應可改善安全性，但在企業環境下，卻可能為設法連上網路資源的使用者造成困擾。防火牆如今在開機順序上也比以往大幅挪前，排序甚至在網路堆疊（network stack）啟動之先。關機時，防火牆會一直保持開啟狀態，直到網路堆疊解除之後。

Messenger服務如今預設為解除狀態。

彈出式廣告攔截工具預設為開啟。

新增統籌控管安全性的應用程式，稱為「Windows安全中心」（Windows Security Center）。這項功能的用意是把最基本的安全設定資料全部集中在同一處，以便管理。防火牆是否開啟、防毒軟體是否正常運作，乃至於最新更新版軟體安裝與否，都一目瞭然。

把NX支援納入Windows XP。NX的全名是「no execute」（不執行），其作用在允許支援NX的中央處理單元（CPU）把某些記憶體區域標註為不得執行（non-executable）。換句話說，任何闖入那些區域的程式碼，像疾風病毒（Blaster）這類惡意程式，都只能呆坐在那兒不准動，因而被剝奪破壞能力。此功能將強化Windows XP作業系統對抗惡名昭彰的緩衝區溢滿威脅。NX目前只支援超微（AMD）K8處理器及英特爾Itanium處理器，但未來推出的大多數32和64位元處理器皆可望支援此安全功能。

分散式元件物件模型（DCOM）須遵循一套新的限制，即任何元件物件模型（COM）伺服器的每個動作，幾乎都受制於存取控制清單（access control list）。另提供更詳細的一套COM授權選項，讓系統管理員能更精確調整COM許可政策。

改良的通訊埠管理（port management）。不再把關閉通訊埠的任務交由應用程式結束後去執行。以往，如果程式設計師省略關閉的例行程序，或應用程式當掉，可能任通訊埠開著，導致XP易遭外來攻擊。SP2為鼓勵加強通訊埠管理，提供一份應用程式優良名單，只許具有管理員權限的使用者更改。把某應用程式（比方說點對點程式）列入優良名單，則准許通訊埠自動管理。這類應用程式今後亦可視為通訊埠的經常使用者，無須管理員權限即可在ICF開啟通訊埠。

新的遠端程序呼叫（RPC）限制協助嚴加控管通訊狀況。XP SP2這方面的改良讓系統管理員微調RPC服務。這種精細的RPC控制讓使用者指定以某一通訊埠做RPC，即便該應用程式不在優良名單上也行。RPC的相關改變很多，包括新的「RestrictRemoteClients」登錄鑰（registry key），在預設狀態下即阻擋大多數試圖匿名存取系統RPC介面的遠端連線，但不會全面堵死。RPC介面限制要求RPC呼叫端進行身分認證，這使得對介面發動攻擊的難度提高，有助於緩和木馬程式（Trojan）型攻擊。

潛在問題

從安全性的立場觀之，前文所提的NX防護不啻是強有力的改良範例。但之前已有報導指出，NX會造成相當多的問題(至少就64位元的版本而言)。最大的問題發生在執行以及時編碼（just-in-time code creation）所寫的應用程式。另一方面，.NET架構通用語言執行時程式碼（.NET Framework common language runtime code）已支援SP2所採用的NX技術。

RPC相關改變可能最與既有的應用程式格格不入。在SP2之前安裝的Windows XP應用程式中，已有多達數十種使用RPC服務，全都開啟攻擊者趁虛而入的窗口。但隨著SP2問世，情況完全改觀。

基於通訊埠管理方式的改變，倘若某應用程式需開啟通訊埠，但並未使用過濾器，執行安裝的系統管理員必須把該程式置於優良名單上。內建的防火牆預設為開啟，但MSN或Windows Messenger這類IPv4（網際網路協定第四版）應用程式為了由外而內建立影音媒體存取連線，需要利用通訊埠開/關自動管理功能。由外內傳的服務連線(IPv4)，也需要額外調整and/or設定。只聽固定通訊埠發號施令的服務，應徵詢使用者容不容許在ICF環境下開啟通訊埠，若獲得許可，該服務應使用INetFwV4OpenPort應用程式介面（API）來更改ICF規定。

另一個問題是，微軟不對盜版的Windows XP提供SP2增補服務。這聽起來滿合理的，但安裝違法版本的使用者眾多，在遠東地區尤然，而此地正是許多蠕蟲快速在網際網路蔓延的跳板。SP2會檢查產品序號以搜尋已知的盜版版本，如果發現系統上的產品序號是已被列入黑名單者，就不會進行安裝。這是可以理解的，但也會降低這波安全功能升級的整體效果。

另有許多SP2衍生的潛在問題是管理員控制不了的，例如，一些訂製應用程式的程式設計碼都必須重寫。但至少，現在你已心知肚明，一旦問題冒出來，該從何處檢查起，而不是在部署XP SP2之後，才發現最重要的應用程式大多被SP2給封殺了。

[dinocho 10]

其實我有去聽XPSP2的開發者講座，我同時也是XPSP2的Beta Tester..

但是我想說的是，或許他的出發點是很好沒有錯，但是似乎有點矯枉過正，導致整個使用者的瀏覽經驗會大打折扣，方便性也下降很多。如果你有安裝過，相信你也會同意我的說法。

不過，我認為SP2中最值得讚賞的是無線網路支援，這部分比起原來XP的功能還要強大的多了，真的很方便∼

倒是藍牙很奇怪... WindowsBeta中的中文版SP2就是找不到藍牙選項∼所以，我到現在還是無法確認是否有藍牙支援（英文版的話，我懶得灌了... 因為必須把作業系統整個重裝成英文版∼@@")

[訪客 DGA]

我有拿到BETA版...

但是看到某位朋友灌SP2不到一個月就重灌了

就再等等吧...XD

[elic 10]

裝了似乎很多(↓)軟體不能用

http://support.microsoft.com/default.aspx?kbid=884130&product=windowsxpsp2

[源 義經 10]

剛剛在閒晃的時候看到這篇...接著又在深藍看到這篇:|

不過我是電腦白痴.....看不懂orz

不過應該是跟樓主那篇一樣的吧OTL

(有好心人能解說一下這到底是什麼嗎?^^")

Windows XP SP2に2種類の脆弱性

Windows XP Service Pack 2 (SP2）に、早くも2種類の脆弱性が見つかった。（IDG）

　MicrosoftのWindows XP Service Pack 2 (SP2）を調べているセキュリティ研究者が2種類の脆弱性を発見した。これにより、ウイルス作者や悪質なハッカーが同OSの新しいセキュリティ機能を回避できてしまう可能性があるとしている。

　ドイツのインターネットセキュリティポータルHeise Securityは8月13日付でセキュリティ情報を公開してSP2の二つの脆弱性について解説、信頼できないサイトからのプログラムを実行することについてユーザーに注意を促している。同社の情報によれば、この脆弱性によって、ウイルス作者がセキュリティ機能を回避してXP SP2システム上で拡散するワームを作成することが可能になるという。ただ、この脆弱性が深刻なものだとは考えていないと発見者は言い、SP2のインストールを推奨する姿勢は変えていない。

　Heise Securityのエディター兼責任者ユルゲン・シュミット氏が同僚とともに発見した脆弱性は、Internet Explorer（IE）ブラウザを使ってダウンロードしたファイル、またはOutlook Expressを使って電子メールから保存したファイルに、「Zone Identifier」 あるいは「ZoneID」のマークを付けるXP SP2の機能に存在する。

　ZoneIDはそのファイルの出所に関してIEのセキュリティゾーンを記録する。IEのセキュリティゾーンでは、各ファイルとデータがどこから来たものかによって、異なるレベルの許可を与えている。例えばインターネットからダウンロードしたWebサイトとファイルは、そのコンピュータが接続されているLANあるいはローカルコンピュータのHDDから取得したものに比べて安全度が低いと考えられる。

　XP SP2ではZoneIDをテキストファイル形式でローカルコンピュータに保存する。このファイルはダウンロードしたファイルにリンクされ、Windowsユーザーが危険なソースからのファイルを開こうとした時に警告メッセージをポップアップ表示するのに使われる。しかし、特定のWindows機能を使うと、ユーザーが警告メッセージを受け取らずにファイルを開くことができてしまうことを、Heise Securityは発見した。

　例えば、標準的なWindows機能であるWindowsコマンドプロンプト経由で生成されたテキストコマンドを使うと、そのファイルを開くことの危険性について警告が表示されないままファイルを開くことができてしまう。

　もう一つの脆弱性は、XP SP2でファイルの名称を変更した際にキャッシュされたZoneID情報がアップデートされないことに起因するもので、シュミット氏は「プログラミングエラー」と呼んでいる。同氏によれば、これを悪用すると、通常なら警告が表示される悪質なファイルの名称を変更することで、悪質なハッカーやウイルスが少なくとも一時的に、ユーザー警告を回避することが可能になる。

　シュミット氏によれば、いずれの脆弱性ともリモート攻撃に使うことはできず、Windowsコマンドシェルを開いたりファイルの名称を変更してほかのファイルを上書きするといったWindowsユーザー側の操作が必要になる。

　ただ、キャッシュされたZoneID情報がアップデートされないといった問題は、サードパーティーのソフトプログラムがXP SP2を活用しようとした場合に問題を引き起こすかもしれないと同氏。

　Microsoftはこの脆弱性について8月12日に通報を受けた。シュミット氏の話では、Microsoftセキュリティ対策センターはこの報告に対し、指摘された問題は「新しい保護措置で意図している目標」に相反するものではないと説明、パッチや回避策をリリースしなければならないほど深刻な脆弱性とは考えていないと語ったという。

　Microsoftの広報担当者は、Heise Securityに対してコメントしたことを否定も肯定もしなかった。

[ang728 10]

看不懂= = 不過 據某公司高層透露 SP2目前有很多軟體相容性的問題 包括了NORTON 甚至是OFFICE系列 所以...等等吧

[ang728 10]

正如同elic兄所貼的

這是中文版的相衝列表

http://support.microsoft.com/default.aspx?kbid=842242

[Dendron 10]

我對照以後有點不太一樣......

像在英文版中遊戲魔獸爭霸三...是會衝突到的...但中文版卻沒有列.....