Wstęp

Dodatek Service Pack 2 dla systemu Windows XP wnosi sporo zmian w porównaniu do wersji SP1. Wraz z instalacją XP SP2 oprócz samych aktualizacji, otrzymujemy także sporo nowych rozwiązań, głównie w dziedzinie zabezpieczeń:

• zwiększona ochrona sieciowa (elastyczny Windows Firewall),

• uproszczone zarządzanie komputerem (Centrum zabezpieczeń - Security Center ),

• bezpieczniejsze przeglądanie stron internetowych oraz pewniejsza obsługa poczty e-mail (usługa AES chroniąca przed niebezpiecznymi załącznikami i pobieranymi z sieci plikami, blokowanie wyskakujących okienek),

• rozszerzone wsparcie dla urządzeń bezprzewodowych (Wi-Fi, Bluetooth),

• ochrona przed przepełnieniami buforów (DEP, NX - zabezpieczenia przed wykonaniem kodu),

• uproszczona aktualizacja systemu (witryna Windows Update v5).

Poniżej postaram się opisać poszczególne technologie, usprawnienia i dodatki.

Windows Firewall

Jedną z najistotniejszych zmian jakie wprowadzono w dodatku SP2 jest rozbudowany firewall, który teraz otrzymał nazwę Windows Firewall (wcześniej ICF). Ma to podkreślić jego związek z samym systemem, bowiem teraz zapora połączenia internetowego działa już we wstępnej fazie rozruchu systemu, a także podczas jego zamykania. Należy podkreślić, że wcześniejsza wersja zapory ICF była nieodporna na ataki przeprowadzane już podczas startu systemu. Nowy Windows Firewall jest także domyślnie aktywny dla każdego połączenia sieciowego i posiada trzy tryby pracy :

• Włącz (zalecane) (On) : tryb domyślny, zalecany podczas normalnej pracy, gdyż uwzględniania w nim jest lista wyjątków (patrz dalej)

• Włącz + Nie zezwalaj na wyjątki (On + No exceptions) : tryb zalecany w sytuacjach zagrożenia wirusem; nie jest w nim uwzględniania lista wyjątków.

• Wyłącz (niezalecane) (Off) : całkowite wyłączenie zapory.

Możemy przy tym udostępnić dany port dla całej sieci lokalnej, ale także dla konkretnych komputerów (po adresie IP): Dodaj program/port->Zmień zakres (Add program/port->Change scope) lub Edytuj->Zmień zakres (Edit->Change scope). Pozwoli to zapanować nad tym, kto ma dostęp np. do naszego lokalnego serwera FTP (patrz niżej) czy też do udostępnionych przez nas w sieci plików i drukarek.

Każde z powyższych ustawień może być konfigurowane niezależnie dla konkretnych połączeń (zakładka Zaawansowane - Advanced). Możemy więc bez problemu uaktywnić porty związane z Udostępnianiem plików w sieci lokalnej, zaś zamknąć je dla świata zewnętrznego (Internetu).

Centrum zabezpieczeń

Nowością wprowadzoną w dodatku Service Pack 2 jest aplet kontrolny Centrum zabezpieczeń systemu Windows (Security Center). Monitoruje on trzy podstawowe usługi : Zaporę (Windows Firewall), Aktualizacje automatyczne (Automatic Updates) oraz skaner antywirusowy.

Jeśli dana usługa nie jest aktualnie włączona na pasku zadań k. zegara pojawi się odpowiedni komunikat ostrzegawczy:

Możliwa jest także sytuacja, że posiadamy skaner antywirusowy niekompatybilny z dodatkiem XP SP2. Wówczas powinniśmy poinformować o tym Centrum zabezpieczeń zaznaczając pole : "Mam program antywirusowy, który będę monitorować samemu". Po tym zabiegu usługa Centrum zabezpieczeń nie będzie monitorować programu antywirusowego ani aktualności jego bazy wirusów.

AES

W XP SP2 Microsoft wprowadził zupełnie nową usługę kontroli załączników w OE oraz plików pobieranych z sieci w IE - Attachment Execution Service (AES). Jako że została ona zbudowana w oparciu o interfejs COM, do kontroli plików używać jej mogą nie tylko OE, IE czy Windows Messenger, ale także inne programy internetowe.
Jak to wygląda w praktyce ? AES analizuje pobierany plik i stara się określić, czy jest on groźny dla systemu. Decydują o tym dwa wyznaczniki : rozszerzenie oraz zgodność pliku z przyporządkowaną mu aplikacją. Do plików zupełnie bezpiecznych zaliczane są tylko pliki w tekstowe (.TXT) oraz obrazki (.GIF) i zdjęcia (.JPEG). AES może także wesprzeć się w swojej analizie wynikami skanowania pliku programem antywirusowym.

Outlook Express

W XP SP2 zmianie uległ także kulejący jeśli chodzi o bezpieczeństwo klient pocztowy Outlook Express. Oprócz tego, że OE może teraz korzystać z niezależnej usługi AES, wprowadzono także nową bezpieczną kontrolkę odczytu wiadomości w formacie tekstowym oraz funkcje zabezpieczające przed wywołaniem zewnętrznej zawartości podczas czytania wiadomości w formacie HTML. Użytkownik ma teraz możliwość wyboru i jeśli uzna zawartość zewnętrzną za bezpieczną będzie mógł ją pobrać klikając na tzw. Pasku informacyjnym (Information Bar). Funkcję tą można także wyłączyć na stałe przechodząc do : Narzędzia -> Opcje -> Zabezpieczenia (Tools -> Options -> Security).

Dla osób czytających wszystkie wiadomości e-mail w bezpiecznym formacie tekstowym wprowadzono b. przydatną funkcję szybkiego czytania wiadomości w formacie macierzystym HTML. Jest ona dostępna w menu Widok -> Wiadomość w HTML (View -> Message in HTML) lub jako skrót klawiszowy ALT+SHIFT+H.

A jak OE posiłkuje się usługą AES podczas otwierania wiadomości z załącznikami? Otóż jeśli AES ustali, że załącznik jest niebezpieczny, a wiadomość, do której został dołączony pochodzi od osoby spoza naszej listy kontaktów, ujrzymy komunikat : Outlook Express zablokował dostęp do niebezpiecznego załącznika "Vvv.txt.exe" (Outlook Express has removed Access to the unsafe attachement "Vvv.txt.exe"). Rozszerzenia, które będą domyślnie blokowane to : .doc, .ppt, .xls, .zip, .wpd, .pdf., .exe, .cmd, .wsh, .bat, .vb, .vbs, .pif, .scr, .scf. Inaczej wygląda sytuacja, jeśli osoba z naszej listy kontaktów przyśle nam potencjalnie niebezpieczny plik - wówczas OE da nam możliwość wyboru czy chcemy otworzyć/zapisać załącznik czy też go skasować.
 

Internet Explorer

Wiele usprawnień uświadczyła także sama przeglądarka Internet Explorer.

Do głównych funkcji, które dodano w XP SP2 zaliczymy Blokowanie wyskakujących okienek (Pop-up Blocker) oraz Zarządzanie dodatkami (Add-on Management).

Pierwsza z tych funkcji była od dawna dostępna w nakładkach na przeglądarkę IE, m.in. w MyIE i Avant Browser. W dodatku Service Pack 2 Microsoft postanowił zaimplementować tę jakże przydatną funkcję bezpośrednio w samym IE. Z ciekawych opcji warto wymienić możliwość definiowania witryn, których okienka nie będą blokowane. Może to okazać się przydatne dla osób korzystających z serwisów informacyjnych czy banków internetowych. Ustawienia dotyczące blokowania okienek typu pop-up dostępne są w dwóch miejscach:
IE -> Narzędzia -> Blokowanie wyskakujących okienek -> Ustawienia... (IE -> Tools -> Pop-up blocker -> Settings...) lub : Opcje internetowe -> zakładka Prywatność -> sekcja Blokowanie wyskakujących okienek -> Ustawienia (Internet Options -> Privacy -> Settings). Do wyboru są trzy poziomy filtrowania, przy czym domyślny zalecany jest poziom Średni (Medium). Pozwoli to wychwycić większość niepożądanych okienek z reklamami. Po wybraniu poziomu Wysoki (High) blokowane będą nawet okienka, które wywołane zostaną po kliknięciu na odpowiednim linku na stronie WWW. Aby ominąć to zachowanie, należy podczas kliknięcia przytrzymać klawisz CTRL.

Po wychwyceniu i zablokowaniu przez IE wyskakującego okienka wyświetlana jest informacja na tzw. Pasku informacji (Information bar) tuż pod adresem odwiedzanej strony. Po kliknięciu na tej informacji wyświetlane jest menu (patrz obrazek poniżej), pozwalające zadecydować jak IE ma zachowywać się teraz/w przyszłości podczas przechwytywania okienka pop-up z odwiedzanej aktualnie strony.

Zarządzanie dodatkami umożliwia z kolei kontrolę wtyczek i dodatków ładowanych przy starcie IE. Jeśli jakaś wtyczka (plug-in) nie działa prawidłowo bądź powoduje zawieszanie przeglądarki, możemy ją tymczasowo wyłączyć. Z panelu zarządzającego dodatkami możemy także aktualizować formanty ActiveX.

Większy nacisk w SP2 położono także na obsługę pobieranych z sieci plików. Internet Explorer załączony w dodatku SP2 wyświetla teraz nowe okienko dialogowe podczas każdorazowego pobierania pliku. Daje to użytkownikowi więcej informacji o samym pliku oraz niebezpieczeństwach związanych z jego otwarciem. IE stara się inteligentnie obsłużyć pobierany plik. Do inteligentnej obsługi plików IE wykorzystuje wspominany wyżej mechanizm AES, analizuje strukturę wewnętrzna pliku, a także korzysta z innych informacje o samym pliku (rozszerzenie, jego typ MIME, typ zawartości z nagłówka HTTP).

Jeden z przeprowadzonych przez nas testów polegał na próbie pobrania i uruchomienia archiwum ZIP jako pliku EXE (zmiana rozszerzenia). Rezultat operacji widoczny jest na poniższym obrazku. IE wykrył, że  pobierany plik test.exe to archiwum ZIP, a nie aplikacja i zmienił automatycznie jego rozszerzenie!

Modyfikacje przeglądarki Internet Explorer dotyczą także zmian w strefach zabezpieczeń. Począwszy od dodatku Service Pack 2 wszystkie lokalne pliki otwierane przez IE uruchamiane są w strefie zabezpieczeń Lokalnego komputera (Local Machine Zone). Wcześniejsze wersje IE przetwarzały lokalne strony bez żadnych dodatkowych ograniczeń, co umożliwiało hackerowi na oszukanie przeglądarki, że jego strona znajduje się na naszym komputerze, a następnie na załadowanie złośliwego kodu HTML. Zmiany dotyczą przede wszystkim automatycznego uruchamiania skryptów ActiveX na lokalnych stronach WWW - IE będzie od teraz pytał użytkownika o tę akcję.
 

Obsługa urządzeń bezprzewodowych (Wi-Fi / Bluetooth)

Dodatek Service Pack 2 wprowadza w końcu oczekiwaną od dawna obsługę urządzeń pracujących w standardzie bezprzewodowym Bluetooth (m.in. telefonów komórkowych). Do tej pory, aby skorzystać z takiego urządzenia należało zainstalować odpowiednie sterowniki i aplikacje dostarczone przez producentów. Teraz bez zbędnych operacji, po podłączeniu do komputera urządzenia z BT, na pasku zadań k.zegara pojawi się ikona informująca o automatycznym włączeniu obsługi Bluetooth. Podłączone urządzenia możemy kontrolować poprzez nowy aplet w Panelu sterowania->Urządzenia Bluetooth (Control Panel->Bluetooth Devices), zaś transfer plików pomiędzy komputerem a zewnętrznym urządzeniem ułatwi nam wbudowany Kreator transferu plików Bluetooth (Bluetooth File Transfer Wizard) : Start->Akcesoria->Komunikacja (Start->Accessories->Communication).

Użytkowników korzystających z sieci bezprzewodowych pracujących w standardzie Wi-Fi ucieszy z pewnością wbudowanie w system Kreatora sieci bezprzewodowej (Wireless Network Setup Wizard), dostępnego zarówno w Panelu sterowania jak i w Menu Start->Akcesoria->Komunikacja (Start->Accessories->Communications). Pozwoli on szybko zalogować się do firmowych i publicznych hotspotów, korzystając z informacji podanych przez dostawcę sieci bezprzewodowych np. na wymiennym dysku USB (w postaci pliku XML).

Ochrona przed przepełnieniami buforów (DEP)

Wiele robaków internetowych (typu Blaster), wykorzystywało przepełnienie bufora do przeprowadzenia skutecznego ataku na komputery użytkowników. Dodatek Service Pack 2 stara się zaradzić także tym błędom, wprowadzając do systemu Windows XP technikę DEP (Data Execution Prevention - Zapobieganie wykonywaniu danych), która korzysta z dwóch rodzajów obrony przed tego typu atakami : techniki sprzętowej (NX) oraz techniki programowej (tzw. sandboxing). DEP bazuje głównie na sprzętowej technologii NX, zapobiegającej wykonaniu kodu z niedozwolonych obszarów pamięci (oznaczonych bitem NX = No Execute = nie wykonuj). Niestety funkcja ta dostępna jest w pełni jedynie na komputerach wyposażonych w procesory 64-bitowe obsługujące NX (AMD Athlon64, Intel Itanium). Na zwykłych procesorach możliwości DEP są w znacznym stopniu ograniczone i umożliwiają wykrywanie tylko niektórych typów ataków. System Windows stara się w tym celu kontrolować obszary pamięci szczególnie narażone na przepełnienie bufora (stos i stertę). Specjlanie na potrzeby DEP ważniejsze komponenty systemu Windows XP zostały przekompilowane z użyciem specjalnych funkcji sprawdzania zabezpieczeń stosu. Czasami DEP może sprawić kłopoty z niektórymi aplikacjami, szczególnie tymi tworzonymi przez nas samych. Możliwe jest jednak zdefiniowanie listy programów, które będą przez DEP ignorowane : Mój Komputer->Właściwości->zakładka Zaawansowane->Wydajność->Ustawienia->zakładka Zapobieganie wykonywaniu danych (My Computer->Properties->Advanced->Performance->Settings->DEP).

Automatyczne aktualizacje + Windows Update v5

Wraz z tworzeniem dodatku Service Pack 2 testowana była nowa wersja witryny Windows Update oznaczona numerem v5. Reorganizacja i uproszczenie witryny pozwoli nawet początkującym użytkownikom bezproblemowe aktualizowanie swojego systemu, co jest bardzo ważne dla bezpieczeństwa naszych danych.

Dla leniwych i zapominalskich przygotowano rozbudowaną usługę Aktualizacji Automatycznych (Automatic Updates), która pozwala użytkownikowi na zaplanowanie sprawdzania dostępności nowych poprawek o określonych porach oraz na całkowitą automatyzację procesu ich instalacji. Dodatkowo podczas zamykania systemu dostępna jest teraz nowa opcja zamknięcia systemu z instalacją ściągniętych poprawek.