Bevezetés
Szinte napra pontosan három évvel a Windows XP RTM (Release to Manufacture) és másfél évvel a Service Pack 1 (2003. március) kiadása után 2004. augusztus 6-án megjelent az új szervizcsomag, az SP2. Eddig úgy tapasztaltam, hogy amikor elkészül egy, akár szerver-, akár kliens oldali SP Redmondban, akkor a rendszergazdák és más szakmabeliek viszonylag gyorsan tudomást szereztek róla (naná!) és árgus szemekkel teszteltek és figyelték mások tapasztalatait, hogy - nyilván mindenki a saját jól felfogott érdekében - minél hamarabb telepíthessék ezeket.
De most más lett a helyzet: a Microsoft az SP2 kapcsán jelentősen kibővítette a bevezetni kívánt újdonságok arányát, a tesztelés időtartamát és a tesztben résztvevők számát (több mint egymilliószor töltötték le az SP2 tesztverzióit a Microsoft Technical Preview, Technical Beta és MSDN programja keretében), majd többször elhalasztotta a kiadás dátumát az alaposság miatt. Mindemellett szerteágazóan meg is hirdette előzetesen a csomag összes tervezett előnyét, illetve az esetleges velejáró (akár a kényelem rovására történő) szigorításokat is és szinte a Gyűrűk Ura/Mátrix premiereknél tapasztalható várakozás előzte meg a javítócsomag színrelépését, ezért most mindenki erről beszélt, akár ért hozzá, akár nem :D. Persze ahhoz, hogy a gyártó céljainak megfelelően a tervek szerint csak az Automatic Update segítségével közel 100 millió gépre letöltsék, sikeresen fel is telepítsék és használják az otthoni felhasználók, valamint az üzemeltetők is bevezessék, ahhoz valóban kell információ és segítség. Egyébként az SP2 világméretű bevezetési folyamatának részeként a Microsoft 25 nyelvre honosítja a szoftvert az elkövetkező két hónap során, így a magyar változat például szeptember közepén jelenik majd meg.
Mit nyújt az SP2?
A SP2 csomagban található frissítések és fejlesztések három fő terület köré csoportosíthatók:
Szigorúbb biztonsági beállítások és eszközök
- A Windows Firewall megújult és alapértelmezés szerint a "Kivételek nélküli aktiválás" módban (minden hálózati kapcsolatnál) bekapcsolt üzemmódja korrekt megoldás a kéretlen hálózati forgalom ellen, akár alkalmazás, akár port szinten. Fontos megemlíteni, hogy az IPv4 és IPv6 tűzfal meghajtók egyaránt egy ún. "boot-time policy" alapján működnek a bekapcsoláskor, azaz lehetővé teszik a hálózati belépés előtti mindenképp szükséges DHCP és DNS forgalmat (de csak azt). Amikor pedig a Windows Firewall teljes mellszélességgel működésbe lép, akkor ezt az (általunk egyébként nem szabályozható) házirendet kikapcsolja.- Az SP2 alapértelmezett biztonsági beállításai szigorúbbak, emellett olyan új szolgáltatásokat és megoldásokat (pl. az RPC objektumok csökkentett jogokkal történő futtatása, vagy a DCOM infrastruktúrára vonatkozó megszorítások) tartalmaz, amelyekkel az operációs rendszer jobban megvédhető az illetéktelen behatolásokkal vagy a vírusokkal szemben.
- Ne feledkezzünk meg a processzorgyártókkal közösen fejlesztett szoftver alapú memória védelemről sem (DEP = Data Execution Prevention), amely (ha a processzor is támogatja) megengedi az operációs rendszernek, hogy adott szakaszokat nem futtathatóként jelöljön meg a rendszermemóriában (kivéve, ha egyértelmű, hogy az adott memória cím futtatható kódot tartalmaz). Így azok az alkalmazások (pl. vírusok), amelyek ezeket a részeket szeretnék jogosulatlanul használni, tehetetlenné válnak, buffer underrun hibákat sem tudnak generálni. A DEP rendszerszintű szabályozása a boot.ini-ből történhet, a /noexecute kapcsoló négy opciójával, ám bekapcsolt állapotában a System Properties / Advanced / DEP fül alatt is lehetséges befolyásolni a működését.
- A szervizcsomag természetesen tartalmazza az operációs rendszer RTM kiadása óta megjelent biztonsági és egyéb frissítéseket is [1] [2].
Jobb kezelés és felügyelet
- A biztonságos üzemeltetést segítő hibajavítással és frissítéssel kapcsolatos területeken is történtek változások, ezek közül az elsőként megemlíthető a Security Center (Biztonsági központ), amely ellenőrzi, hogy futnak-e a következő programok: 1. egy tűzfalprogram; 2. egy naprakész vírusvédelmi program; 3. a frissítések automatikus letöltésére beállított Automatikus frissítések szolgáltatás. Ha ezek közül valamelyik nincs, vagy nem aktuálisan frissített, akkor erre figyelmezteti a felhasználót, sőt a probléma elhárításáig minden egyes bejelentkezéskor megjelenik egy további figyelmeztetés. Ellentétben az otthoni felhasználással, tartományi környezetben a Security Center alapból nem működik, de engedélyezése után a Csoportházirenddel részletesen szabályozható.
- Az Automatic Updates klienst is lecserélték, a jelenlegi változat továbbra is képes együttműködni a SUS-sal, de a SUS jelenleg még béta fázisban lévő, ám ígéretes utódjával a WUS-sal (Windows Update Services) is probléma nélkül dolgozik. Az új kliens viszont a fontos frissítéseken kívül képes az ún. update rollups-ok és a szervizcsomagok letöltésére és telepítésére is és talán az egyik legszimpatikusabb újdonságot is alkalmazza, a Shutdown Install-t, azaz a gép leállításakor elvégzendő frissítést. Az ebbe a témakörbe passzoló BITS (Background Intelligent Transfer Service) 2.0-ás változata és a delta tömörítés használata nagyot lódíthat a kisebb sávszélességgel elvégzett frissítések tempóján.
- A szervizcsomaggal érkező házirend sablonok - például tartományi környezetben a Csoportházirendbe beágyazva - gyakorlatilag az összes új funkció központi felügyeletére alkalmasak és például a Windows Firewall esetében különösen hasznosak, hiszen attól is függővé tehető a beállítások segítségével a kliens oldali tűzfal működés, hogy tartományi vagy munkacsoportos környezetben működik a gép.
- Az Internet Explorer is tartalmaz jónéhány a biztonsággal kapcsolatos újdonságot és az alap biztonsági beállításokon is szigorúbbak. Megakadályozza például, hogy szkriptek futtatásával egy olyan ablak nyíljon meg, amely elrejti az Internet Explorer vezérlőelemeit, és ezzel "elfedi" a hátsó szándékú tevékenységet. Korlátozza a helyi számítógépen emelt szintű jogosultságokkal történő HTML-kód végrehajtást, és értesíti a felhasználót, ha potenciálisan veszélyes letöltést észlel. Az IE és az Outlook Express a letöltött illetve lementett állományokat egy ún. ZoneID-val megjelöli, majd ez az azonosító beépül a letöltött állományba (az NTFS, Additional Data Stream (ADS) funkcióját kihasználva). Ezután, akár hetek múlva is kiolvasható az állomány tulajdonságai közül és persze fel is használható pl. a forrás megbízhatóságának ellenőrzésekor, azaz akkor, amikor majd a felhasználó megnyitja a letöltött alkalmazást.
Az IE egy kellemes bővítménykezelővel is rendelkezik, amelyben átlátható módon kezelhetjük (letilthatjuk :D) például az automatikusan beépülő elemeket.
Folytatjuk...
Gál Tamás
gtamas@tjszki.hu