29-12-04 03:44
[MS Windows] Service Pack 1 RC za Windows server 2003
piše BORIS TROJAN
Service Pack 1 za Windows Server 2003 nudi najnovije updateove, poboljšanja i nove osobine. Svaka od ove tri komponente pojačavaju sigurnost,pouzdanost i performanse Windows 2003 servera.
Updatei Updatei u Service Packu 1 pokrivaju neke od najosnovnijih mehanizama Windows servera 2003 i kao takvi uklanjaju neke od najvažnijih točaka otvorenih napadu na sistem. Ovi update-ovi uključuju fixeve za:
Internet Explorer - updatei za ovu aplikaciju onemogućuju nenamjeran download lažno prezentiranog malicioznog koda i automatsku promjenu veličine prozora pretraživača, što je smicalica za izlučivanje korisničkih podataka. Outlook Express - ovaj patch omogućuje format email poruka u plain tekstu kao još jednu zaštitu protiv širenja malicioznog koda. WebDAV Redirector - ovaj patch omogućuje da se WebDAV serverima, kao što su SharePoint Services i MSN, pristupa kao standardnim file serverima. Nadalje, sprečava da se korisničko ime i zaporka prenose nekriptiranim kanalima.
Nova osobina koju donosi ovaj Service Pack je i Hot Patching koji omogućuje updateiranje drivera, DDL-ova, API-a isvih ostalih komponenata koji ne zadiru u kernel bez potrebe za restartanjem stroja.
Poboljšanja Ključna poboljšanja koja donosi Service Pack 1 su sljedeća:
Jača redukcija privilegija na servisima, kao što su RPC i DCOM, a koji su kao integralni dio Windows servera 2003 primamljiva meta za hakere. Radi ojačavanja slabosti tih servisa, Service Pack 1 pojačava autentikaciju kod poziva i na taj način osigurava minimum sigurnosti za sve aplikacije koje koriste ove servise čak i kad same aplikacije imaju minimalnu ili nikakvu razinu sigurnosti.
Podrška za "no execute" hardware - Service Pack 1 omogućuje Windows serveru 2003 da iskoristi funkcionalnost ugrađenu u hardverske komponente na način da sprečava pokretanje malicioznog koda iz memorijskih područja. Ovo poboljšanje zatvara vrata najšire iskorištavanom načinu računalnih napada.
VPN karantena - automatski ograničava mrežni pristup onim računalima u virtualnim privatnim mrežama na kojima nisu instalirani najnoviji updatei. Prije se to rješavalo skriptama. IIS 6.0 auditiranje metabase - metabase je konfiguracijsko XML formatirano, hijerarhijsko skladište za Internet Information Services 6.0. Auditiranje ove baze omogućuje administratoru analizu pristupanja bazi prilikom njene korupcije.
Nove osobine
Service Pack 1 uvodi nove funkcionalne osobine u Windows server 2003:
Windows Firewall - objavljen također u Windows XP Service Packu 2, Windows Firewall je nasljednik Internet Connection Firewalla. Windows Firewall je na hostu temeljeni softverski vatrozid. Uključen je po defaultu nakon svake nove instalacije OS-a koji sadrži Service Pack 1.
Post-Setup Security Updates (PSSU) - serveri su posebno otvoreni napadu u razdoblju od inicijalne instalacije i apliciranja updatea. Windows Server 2003 zaprečava tu ranjivost korištenjem Windows Firewalla koji nakon instalacije blokira sve ulazne konekcije do momenta apliciranja patcheva. Nakon aplikacije patcheva, Windows Firewall se isključuje radi konfiguracije. PSSU također vodi korisnika kroz konfiguriranje Automatic Update osobine. Security Configuration Wizard (SCW) - ovaj wizard konfigurira sigurnost servera prema njegovoj specifičnoj ulozi. Prema odgovorima koje dobiva, wizard će isključiti sve nepotrebne servise.
Kratki prikaz funkcionalnih promjena unutar Windows Servera 2003
Administrative Tools Ako je aktiviran Windows Firewall, port 445 mora biti otvoren da bi se MMC konzola mogla koristiti sa udaljenog računala.
Data Execution Prevention Service Pack 1 iskorištava ugrađene hardverske mogućnosti za sprečavanje izvršavanja malicioznog koda iz memorijskih područja koja ne bi smjela sadržavati kod.
DCOM Security - Pristup COM komponentama je kontrolirana za sve pozive, aktivaciju ili pokretanje zahtjeva na računalu. Ova kotrola pristupa predstavlja u biti dodatni AccessCheck poziv nad ACL listama, a koji se odvija prilikom svakog poziva, aktivacije ili pokretanja bilo kojeg COM servera na računalu. Download, Attachement and Authenticode - Ojačani su i konzistentniji svi promptovi koji se koriste kod downloada, email attachementa. pokretanja procesa u shellu i instalacije programa. Dodatna mjera je prikazivanje informacija o izdavaču proizvoda prije otvaranja tipa datoteke (naprimjer,.exe, .dll,.ocx,.msi,.cab).
Filter for Add/Remove Programs - Ovaj filter nudi mogućnost prikaza ili skrivanja trenutnih updatea instaliranih na računalu. Internet Explorer Add-on Management and Crash Detection Interent Explorer Add-on Management sada nudi puno veću kontrolu nad popisom dostupnih add-on komponenti. Također, vidljive su i one add-on komponente koje prije nisu bile vidljive ili ih se teško moglo detektirati.
Crash Detection pokušava detektirati padove Internet Explorera a koji su vezani uz Add-on komponente. Ako je add-on uspješno identificiran, korisniku je informacija predstavljena i omogućeno mu je deaktivirati add-on radi dijagnoze pada browsera ili radi povećanja njegove opće stabilnosti. Internet Explorer Binary Behaviours Security Detection - ActiveX model sigurnosti primjenjuje se pri svakom inicijaliziranju nekoga objekta a koji uključuje URL vezanje. Ovaj model svaku ActiveX kontrolu označuje kao "sigurnu za skriptiranje" i "sigurnu za inicijalizaciju", te tako korisniku daje mogućnost blokiranja ili dozvole ActiveX kontrola preko konfiguracije security zona. Ovako je Active sadržaj unutar Internet Explorera pod jačom kontrolom. Internet Explorer Control Settings in Group Policy - Novi ključ u registry bazi podataka zove se Feature Control i prvi put je uveden kroz Windows XP Service Pack 2. Modificirani Inetres.adm ovaj setting uključuje u policy.
Internet Explorer Information Bar - Zamjenjuje mnoge od uobičajenih dijaloških okvira u koje korisnici unose podatke. Information Bar prikazuje podatke slične onima u Outlooku 2003 koji informairaju korisnike o blokiranom sadržaju.
Internet Explorer Local Machine Zone Lockdown - Kada Internet Explorer otvori neku Web stranicu, na nju postavlja restrikcije koje se temelje na konfiguraciji Security zonea za tu stranicu. Internet Explorer sa Service Packom 1 dodatno osigurava korisnike na način da po defaultu zaključava zonu Local Machine. Ako se aplikaciji koja lokalno hosta HTML deaktivira Local Machine Lockdown, takav će se sadržaj pokretati pod manje restriktivnim postavkama nego što je to bio slučaj u prijašnjim verzijama Internet Explorera.
Internet Explorer MIME handling Enforcement - MIME (Multipurpose Internet Mail Extension) informacije koristi Internet Explorer radi određivanja načina rukovanja datotekama koje šalje Web server. Naprimjer, ako HTTP protokol zatraži .jpg datoteku ona će se po pravilu prikazati u prozoru Internet Explorera, a ZIP datoteku će prebaciti na download. No, ako browser primi izvršnu datoteku, korisnik će promptom morati odlučiti o njenoj sudbini. Sa Service Packom 1, ova pravila postaju još restriktivnija u svrhu zaštite sustava od nenamjernog downloada ili pokretanja opasnih datoteka zbog pogrešnih MIME informacija.
Internet Explorer Object Caching - U prijašnjim verzijama Windows servera 2003, Internet Explorer je dopuštao pristup objektima cacheiranih s drugih Web siteova. Sada referenca do nekog objekta više nije dostupna kada korisnik pretražuje drugu domenu.
Internet Explorer Pop-up Blocker - Krajnji korisnici i administratori mogu određenim domenama omogućiti korištenje programirajućih iskačućih prozora. Programeri će moći koristiti ili proširivati pop-up funkcionalnost unutar Internet Explorera.
Internet Explorer Untrusted Publishers Mitigations - Korisniku je omogućeno blokiranje potpisanog sadržaja bez prikazivanja dijaloškog okvira Authenticode. Tako se sprečava instaliranje koda blokiranog izdavača. Kodovima sa invladinim potpisima onemogućeno je da se instaliraju. Internet Explorer URL Action Security Settings in Group Policy - Prvi put Service Pack 1 uvodi kofigurabilne postavke unutar Security postavki Internet Explorera kroz policy implementaciju. Ove postavke konfiguriraju se kroz konzolu Group Policy Management i mogu se editirati samo groz GPO objekt. Nakon instalacije Internet Explorera na računalu se registrira ključ HKEY_CURRENT_USER za URL filtere kao što je to bilo i u prethodnim verzijama.
Interenet Explorer Window Restrictions - Internet Explorer nudi mogućnost otvaranja raznih vrsta prozora, te promjene veličine i pozicija postojećih prozora korištenjem skripti. Ova nova osobina, koja se prije nazivala UI Spoofing Mitigation, onemogućuje izvođenje dva tipa skriptne kotrole prozora koje koriste hakeri: pop-up prozore i prozore koji uključuju statusnu i naslovnu traku.
Internet Explorer Zone Elevation Blocks - Funkcionalnost neke web stranice s obzirom na njen izvor, Explorer kontrolira filtrirajući je kroz zone: internet, local intranet, trusted sites, itd. Naprimjer, stranice čiji je izvor internet imaju jače restrikcije sigurnosti nego stranice sa korisničkog lokalnog intraneta, dok stranice na korisničkom računalu u zoni sigurnosti Local Machine imaju najmanje restriktivne postavke. Upravo ovaj tip stranice predstavlja metu malicioznih napada. Osobina Zone Elevation Blocks otežava pokretanje koda unutar ove zone, a u kombinaciji s osobinom Local Machine Zone Lockdown čini tu zonu manje ranjivom.
Outlook Express Plain Text Mode - ovaj mod formatiranja email poruka spriječava pokretanje koda kroz email poruke formatirane u MSHTML-u. Limit External HTML Content Downloads - ova osobina onemogućuje opetovano primanje spam poruka na način da spriječava korisnika da nesvjesno validira spam poruke od njihovih pošiljaoca. Don't download External HTML Content - aktivacijom ove osobine Outlook Express ne kontaktira Web server radi downloada vanjskog sadržaja što spriječava verifikaciju email adresa pošiljaoca spama. Attachement Manager API Integration - Outlook Express sada integrira niz novih API-a koji se nazivaju Attachement Manager, a služe za provjeru privitaka u porukama elektroničke pošte. Sada se kontrola sigurnosti privitaka odvija kroz ovaj središnji API, pa to više ne čine pojedinačne aplikacije.
Post Setup Security Updates - Ovaj update štiti server od rizika infekcije u razdoblju od inicijalnog pokretanja servera do momenta unapređenja sustava preko Windows Updatea. To omogućava podizanje Windows Firewalla u procesu nove instalacije Windows Servera 2003 koji sadrži ovaj service pack. Ulazne konekcije do servera su blokirane sve do momenta kad administrator ne potvrdi dijaloški okvir Post Setup Security Updates i tako omogući download i instalaciju s Windows Update servera.
Resultant Set of Policy - Service Pack 1 instalacijom Windows Firewalla spriječava udaljeni pristup RSoP podacima s ciljanog računala. Također, Group Policy Management Consola ne može povući ove podatke. Opcija Windows Firewall restrictions rješava oba ova slučaja.
RPC Interface Restrictions - Remote Procedure Call (RPC) servis doživaljava promjene kroz uvođenje registry ključa RestrictRemoteClients. Ovaj ključ omogućuje modificiranje ponašanja svih RPC sučelja na sistemu i može se koristiti za eliminiranje udaljenog anonimnog pristupa RPC sučelju (uz neke iznimke). Dodatna konfigurabilnost omogućena je i kroz novi registry ključ EnableAuthEPResolution.
Security Configuration Wizard - SCW čarobnjak postavlja niz pitanja u cilju određivanja uloga servera. SCW preko XML baze znanja definira ulogu servera kroz kontrolu rada servisa, portova i ostalih funkcionalnih zahtjeva. Uključeno je 50 različitih uloga.
TCP/IP Winsock self healing Winsock (Windows Network socket facility) za aplikacije je proširiv zahvaljujući mehanizmu pod imenom Layered Service Provider (LSP). Winsock LSP dostupan je razne svrhe, naprimjer Web content filtriranje. U prijašnjim verzijama Windows Servera 2003, Winsock katalog u registry bazi doživljavao je korupciju prilikom uklanjanja buggiranog LSP-a što je dovodilo do gubitka svih mrežnih konekcija. Sada se Winsock automatski popravlja nakon korisničke deinstalacije LSP-a. New Winsock Netsh Commandsdvije nove naredbe su dostupne u Service Packu 1:
netsh winsock reset catalog
Ova naredba resetira Winsock katalog na defaultnu konfiguraciju. Naredba je korisna ako je instaliran malformirani LSP gdje dolazi do gubitka konekcija. Naredbu je potrebno koristiti pažljivo jer se može dogoditi da je zbog omaške neizbježno nanovo instalirati sve prethodno instalirane LSP-ove.
netsh winsock show catalog
Prikaz svih instaliranih LSP-ova na sustavu. SYN attack protection aktiviran je po defaultu - radi ublažavanja štete SYN napada, TCP/IP protokol smanjuje količinu resursa namijenjenih nekompletnim TCP konekcijama i ujedno smanjuje vrijeme nakon kojeg se prekidaju polu otvorene konekcije. Nakon detektiranja SYN napada, TCP/IP na Windows Serveru 2003 i Windows XP smanjuje broj povratnih transmisija SYN-ACK segmenta i ujedno konekciji ne dodjeljuje memoriju ili resurs za entry u tablici sve do trentka kada je handshaking uspješno dovršen.
New SYN attack notification IP Helper API - dva IP Helper API-a sada podržavaju obaviještavanje o SYN napadu od strane određene aplikacije: NotifySecurityHealthChange i CancelSecurityHealthChangeNotify.
Smart TCP port allocation - TCP port allocation algoritam spriječava određenu aplikaciju da stvori konekciju s istim nizom socket adresa koju koristi već postojeća konekcija u statusu Time Wait. Kad neka aplikacija zatraži slobodan TCP port, TCP/IP prvo pronalazi one dostupne portove koje ne koristi postojeća konekcija što boravi u statusu Time Wait. Ako se takav port ne može pronaći, TCP/IP protokol odabire bilo koji dustupan port. Na taj se način otežava mogućnost da aplikacija dobije TCP port u Time Wait stanju, kada se spaja na istu destinaciju.
WebDAVRedirector - WebDAV Redirector (DAVRdr) omogućuje korištenje WebDAV servera na kao što su SharePoint i MSN Communities na način da se ponašaju kao standardni file serveri. Ovaj mehanizam se sastoji od kernel komponente koja se spaja na Windows NT remote file system stack i od user komponente (Web client service) koja prevodi zahtjeve za sistemskim datotekama u WebDAV zahtjeve.
Windows Firewall - prethodno pod imenom Internet Connection Firewall, softverski je host vatrozid za Windows Server 2003. Omogućuje zaštitu računala koja se spojena na mrežu na način da blokira promet protokola IPv4 i IPv6.
Windows Media Player - WMP 10 integralni je dio Windows server 2003 Service Packa 1. Ova verzija Media Playera ima sigurnosne fixeve i nove funkcionalnosti.
Wireless Networking - WPS (Wireless Provisioning Services) omogućuje konekciju na javne Wi-Fi vruće točke kroz automatsko dodjeljivanje klijenta i roaming.
Dodatne informacije na linku http://download.microsoft.com/download/d/8/5/ d850add9-0a38-45bd-a0b4-fd15c6f08a39/SP1ProductOverview_120904.doc
Service Pack 1 link: http://www.microsoft.com/downloads/details.aspx?familyid= AE20C29D-5C71-49CE-9091-3AEDC9E5979F&displaylang=en
|