Microsoft реализовала два существенных механизма по борьбе с попытками запуска злонамеренного кода: NX (no-exec) блоки памяти и проверка на переполнение буфера.

Примечание. Переполнением буфера называется операция, при помощи которой злонамеренная программа использует какую–либо стандартную функцию программы или ОС, передавая ей слишком большой блок данных. Если вызываемая программа не проверяет размер блока переданных ей данных, то крупный блок данных может своим «хвостом» заменить полезные данные, что может привести к зависанию программы. В худшем случае в этих «лишних» данных окажется фрагмент кода злонамеренной программы, который будет запущен атакуемой программой: она же не подозревает, что фрагмент её кода был подменён!

Первый механизм требует аппаратной поддержки от процессора и сегодня реализован только в процессорах AMD K8 и Intel Itanium. Правда, Microsoft обещает, что она уговорит производителей реализовать эти возможности и в 32–разрядных процессорах. Идея метода проста: если блок памяти объявлен как блок данных, то запустить код, который в нём находится, невозможно (возникает Access violation). Потому никакой программе, которая использует механизм переполнения буфера, просто не удастся запустить свой код.

Второй механизм называется «песочница» (sandboxing): проверка системой всех буферов данных насчёт угрозы их переполнения. Теперь нельзя вызвать переполнение буфера при помощи системных функций Windows: это существенно повысит защищённость ОС от вирусов, червей и троянов, которые часто используют переполнение буфера. Идея метода проста: каждый буфер памяти окружается специальными маркерами, за целостностью которых следит операционная система. Этот метод давно используется при разработке программ, когда за переполнением следит отладчик.

Безопасность электронной почты в Outlook Express

Уже достаточно давно Microsoft снабдила свои операционные системы несложной программой Outlook Express для работы с электронной почтой и эхоконференциями. Это привело к тому, что подавляющее большинство пользователей используют именно эту программу. Во–первых, она всегда установлена в системе. Во–вторых, предоставляет достаточное количество возможностей. В–третьих, не нужно устанавливать и осваивать программу от стороннего производителя. Обратная сторона такой популярности — огромное количество вирусов, которые распространяются, используя уязвимости именно этого почтового редактора. В новой версии программа существенно доработана.

Outlook Express теперь проверяет соответствие содержимого вложения в письме заявленному MIME–типу и типу файла (его расширению). Подозрительные файлы блокируются. Это существенно затруднит распространение вирусов, которые рассчитывают на наивность и любопытство пользователя (к примеру, фотография голой Анны Курниковой в файле с именем  1.jpg                                    .exe )

Письма в HTML формате теперь будут отображаться RichEdit-ом, а не WebBrowser-ом. При этом для отображения письма Outlook Express не будет соединяться с интернетом. Часто этим способом спамеры пользуются для подтверждения того, что адрес электронной почты используется. Даже если вы только лишь просмотрели письмо, на сервер спамера приходит подтверждение о том, что такой–то адрес работает и используется. Остаётся только догадываться, в какое количество спамерских баз он будет скопирован после этого.

Безопасность сёрфинга в интернете при помощи Internet Explorer

Windows XP Service Pack 2 содержит новую версию программ Internet Explorer и Outlook Express: 6.0 SP2

Наконец–то в Internet Explorer добавили возможность блокирования всплывающих окон: в меню Сервис появился пункт Блокирование всплывающих окон.

Также появилась возможность контроля над всеми надстройками (плагины, plug-ins) Internet Explorer–а:

Теперь каждый сможет излечить свою систему от случайно установленного модуля, например, на сайте неприличного содержания. Ранее лишь посвящённые в тайны устройства Internet Explorer–а владели необходимыми для «лечения» навыками: мало кто знает про программу BHO Demon. Чаще всего от такой «болезни» компьютер лечили полной переустановкой системы.

Содержимое веб–страниц не сможет теперь изменять размеры окна Internet Explorer без ведома пользователя.

Изменён уровень доверия к файлам, находящимся на локальном жёстком диске. Ранее Internet Explorer безгранично доверял таким файлам, чем пользовались некоторые вирусы. Они присылали вам на жёсткий диск какие–то файлы (через электронную почту или файлобменные сети), которые потом запускались.

По аналогии с Outlook Express изменён механизм контроля над загружаемыми файлами. Проверяется MIME–тип в HTTP–заголовке, тип файла (расширение) и заголовок файла. В случае каких–либо несоответствий Internet Explorer выдаст предупреждение. Теперь вам не смогут подложить запускаемый файл с вирусом под видом картинки или музыки.

Internet Explorer оснащён всплывающей Панелью информации, при помощи которой браузер сообщает пользователю о различных автоматических действиях, предпринятых им при отображении страницы:

Здесь отображается информация о заблокированных всплывающих окнах, подозрительных ActiveX–компонентах и так далее. При помощи информационной панели вы можете получить доступ к различным командам, позволяющим изменить способ отображения страницы, например, разрешить всплывающие окна. Вообще, многие окна Internet Explorer–а получили дополнительные текстовые пояснения, написанные простым человеческим языком. Пояснения информируют о том, в чём состоит потенциальная опасность ситуации и к чему может привести неверный выбор пользователя

Эта возможность позволит пользователям, использующим интернет, лучше понимать происходящее. А в случае возникновения опасных ситуаций — сознательно и со знанием дела принимать необходимые решения.

Контроль над антивирусными программами

Ещё одна новинка от Microsoft: отныне система в состоянии следить за антивирусной программой. Пока что, правда, далеко не каждый антивирус поддерживает интеграцию с системой контроля безопасности Windows XP: в списке на сайте Microsoft пока значатся только EZ Antivirus от Computer Associates, F-Secure, McAfee Security, Panda Software, Symantec и Trend Micro. Антивирус Касперского также интегрируется с системой контроля безопасности, несмотря на то, что его нет в указанном выше списке. К сожалению, Dr.Web пока отсутствуют в этом списке:

Примечание. Немногим известен тот факт, что в наших условиях эффективнее использовать отечественные антивирусы. Состояние их вирусных баз более адекватно отражает вирусные угрозы, которые возникают в русскоязычном сегменте интернета. Известны случаи, когда вспышки вирусов проходили мимо пользователей русских антивирусов. Описание вируса быстро появлялось в «наших» вирусных базах, тогда как заокеанские производители программ добавляли это описание в свои базы спустя несколько дней.

Тот факт, что ДиалогНаука присутствует в списке антивирусных партнёров Microsoft, вселяет надежду на то, что подобная функциональность будет реализована в ближайших версиях этой популярной антивирусной программы. До той поры нужно указать системе, что используется антивирусная программа, не имеющая возможностей интеграции с Windows (Центр обеспечения безопасности Windows — Защита от вирусов — Рекомендации):

Если ваш антивирус поддерживает интеграцию в систему безопасности Windows, то система поможет вам следить за актуальностью вирусных баз и их своевременных обновлением: без этого невозможна эффективная работа программ защиты от вирусов. Также система будет следить за тем, чтобы антивирусный монитор был постоянно включён и активен.

Автоматическое обновление системы

Уже много лет Microsoft выпускает обновления к своим операционным системам: в них содержатся исправления ошибок в системных компонентах, в том числе такие, которые могут допустить атаку на компьютер (такие обновления часто называют «заплатой» (patch) для «дыры» (security hole) в системе). В 2002–м году Microsoft запустила автоматическую систему установки критических для безопасности системы обновлений, которая состоит из сайта Windows Update и встроенного в систему модуля Автоматическое обновления (Windows 2000 SP2 и далее, все версии Windows XP). Пользователь имеет возможность автоматического выбора необходимых обновлений для системы и порядка их установки. Система Автоматическое обновление также позволяет загружать обновления системы в фоновом режиме:

Установка обновлений может производиться автоматически в указанное время, по указанию пользователя или во время выключения компьютера (в последнем случае пользователь не теряет своё время: после включения система будет работоспособна как обычно, но с уже установленными обновлениями). Конечно, чтобы система автоматического обновления работала, нужно оставлять компьютер включённым в указанное для установки обновлений время. Обратите внимание, что система автоматических обновлений будет загружать и устанавливать только обновления, критические для безопасности системы. При помощи сайта Windows Update вы можете загрузить также рекомендуемые обновления: новые версии различных программ и драйверов.

Такой метод установки обновлений не оптимален для крупных сетей: одни и те же обновления будут загружаться из интернета множество раз. Специально для такого случая Microsoft разработала двухступенчатый метод обновлений: сервер локальной сети загружает все возможные обновления с сайта Microsoft, а клиентские компьютеры загружают обновления с локального сервера. Логика Автоматического обновления системы указывает клиентским компьютерам, какие именно обновления нужны для каждой системы. Администраторы локального сервера могут управлять настройками автоматического обновления клиентских компьютеров при помощи групповых политик. Этот метод носит название Windows Update Service (ранее эта подсистема называлась Software Update Service, SUS) и также был доработан.

К выходу Windows XP SP2 приурочен перевод сайта Windows Update на пятую версию. В данной версии улучшен анализ взаимного влияния различных обновлений системы друг на друга. Так, если какую–либо ошибку исправляют два обновления, то вам автоматически будет предложено только более новое из них. Система содержит усовершенствования в алгоритме установки обновлений: некоторые обновления требуют установки отдельно от других; прочие же можно устанавливать «пакетом», некоторые обновления требуют перезапуска системы до или после своей установки. Для каждого компьютера ведётся журнал установки обновлений: это позволяет правильно планировать установку новых «заплат». Начиная с четвёртой версии сайт Windows Update доступен на русском языке.

Новые версии системных компонентов

Конечно, пакет обновлений системы Windows XP включает в себя новые версии различных программ и подсистем:

• Windows Media 9 — последняя версия подсистемы работы с новыми форматами сжатия видео и звука
• DirectX 9c — последняя версия подсистемы ввода–вывода графики, видео и звука
• Windows Installer 3 — новая версия подсистемы, отвечающей за установку приложений и их компонентов
• Windows Movie Maker 2.1 — новая версия встроенного редактора видео

В пакет обновления включены все ранее выпущенные обновления системы, в том числе вышедшие ранее в составе первого пакета исправлений (Service Pack 1 и 1a). Полный список обновлений доступен здесь, полный список исправлений системы безопасности — здесь. (Последнее исправление системы безопасности — MS04-025 — датировано 1 августа 2004 года.)

Ложка дёгтя в бочке мёда

Из существующих проблем со вторым пакетом обновлений для Windows XP значительна только одна: некоторые программы привязываются к версии системы и не могут работать с неизвестными версиями Windows. Таковы, например, программа изменения оформления Windows XP StyleXP, пакет программ для разработки драйверов под Windows DriverStudio, некоторые другие программы и драйверы устройств. Конечно, производители этих программ в ближайшее время выпустят версии программ, которые будут поддерживать Windows XP SP2 (так, SP2 поддерживается StyleXP, начиная с версии 2.13, выпущенной 11 августа). Таким образом, описанная проблема — лишь временное неудобство. Однако, если для вас критично использование программы, которая не поддерживает Windows XP SP2, то вам имеет смысл дождаться выхода совместимой с SP2 версии, и уже тогда установить пакет обновлений.

Слухи о SP2

В виду осторожного человеческого отношения ко всему новому и неизвестному, подчас переходящему в откровенное неприятие, сейчас в электронной прессе часто говорят о проблемах, ошибки, нестабильности и несовместимость Windows XP SP2. Журналисты неспециализированных изданий раздувают из мухи слона ради громких заголовков вроде «Обновление для Windows ХР нарушает работу целого ряда программ, включая собственные продукты Microsoft SQL и Visual Studio .Net» или «Обновление Windows XP»: лекарство хуже болезни. Эти статьи апеллируют к базе знаний Microsoft: список программ, функциональность которых может оказаться ограниченной после установки SP2 и что делать, если некоторые программы неверно работают после установки SP2. Читая публикации с подобными названиями становится очевидно, что их авторы не знакомы с оригинальными статьями из базы знаний Microsoft. Крики «Microsoft Office, NERO Burning ROM, DivX не будут работать!» и близко не соответствуют истине, по крайней мере, для подавляющего большинства компьютеров (на моём компьютере все упомянутые выше программы работают без проблем).

Существенные проблемы с совместимостью могут возникнуть с программами, которые запускают код из блоков памяти с данными — но только на системах с процессорами Intel Itanium и AMD K8 (то есть, системах, имеющих аппаратную поддержку атрибута no-exec для блока памяти). К таким программам относятся, например, интерпретаторы языков — Visual Basic, который, в частности, входит в состав Microsoft Office.

Вторая область потенциальных проблем: наличие в системе файрвола, который будет нарушать работу программ, ранее свободно открывавших соединения. Всё, что нужно сделать в таком случае — правильно настроить системный файрвол. Также возможны проблемы у программ–файрволов сторонних производителей из–за некорректного взаимодействия с системным файрволом.

Выводы

Как было сказано в начале статьи, Microsoft впервые в операционной системе для рабочих станций и домашних компьютеров реализовала централизованную систему обеспечения безопасности компьютера. Очень важно то, что система сопровождается большим количеством документации, где доступным для большинства пользователей языком описаны проблемы, которые могут возникнуть на пути обеспечения безопасности их компьютера и данных. Это позволит существенно улучшить ситуацию с обеспечением безопасности вычислительных систем, в частности, эпидемий компьютерных вирусов. Недаром Microsoft тянула так долго с выпуском этого обновления: код системы существенно вылизан и залатан. По субъективным ощущениям система работает быстрее, одно из самых медленных мест системы, окно Установка и удаление программ, работает намного быстрее.

Таким образом, установка Windows XP Service pack 2 настоятельно рекомендуется всем пользователям: это поможет вам построить защищённую вычислительную систему.

Источник: http://www.ixbt.com/