WinXP SP2 安全功能大跃进 应用程序会受影响

概述

Windows XP SP2（第二版更新服务包）的发布象徵操作系统生命历程的一大里程碑。微软使出浑身解数加强安全性，但也因此而产生诸多 问题，因为SP2 为安全起见，不再那么强调与旧式系统和软件的回溯兼容性。系统管理人员必须事先了解，SP2 会为内部网络中的Windows XP系统带来什么样的影响。

本文信息乃根据Windows XP Service Pack 2 RC1 （第一号发布候选者）所作的评析。该软件正式发布时可能略有修改，但本文谈到的内 容大体上仍适用。

细节

Windows XP SP2会大幅改善XP几乎各方面的安全性缺省环境，从电子邮件到网页浏览乃至于防护常见的缓冲区溢满（buffer overrun）问 题皆然。但要引进这种种安全改良功能，免不了得忍受一些不小的麻烦。ZDNetUK 最近报导，微软承认，每十种应用程序中，就会有一种 因为SP2 更新而发生问题（我个人认为这是保守的估计）。

以下是XP SP2一些最重要的安全设定改变：

“互联网连线防火墙”（ICF ）如今的默认值为开启，对SOHO用户而言应可改善安全性，但在企业环境下，却可能为设法连上 网络资源的使用者造成困扰。防火墙如今在开机顺序上也比以往大幅挪前，排序甚至在网络堆叠（network stack ）启动之先。关机时， 防火墙会一直保持开启状态，直到网络堆叠解除之后, Messenger 服务如今缺省为解除状态: 弹出式广告拦截工具缺省为开启。

新增统筹控管安全性的应用程序，称为“Windows 安全中心”（Windows Security Center ）。这项功能的用意是把最基本的安全设定信 息全部集中在同一处，以便管理。防火墙是否开启、防毒软件是否正常运作，乃至于最新更新版软件安装与否，都一目了然。

把NX支持纳入Windows XP.NX 的全名是“no execute”（不执行），其作用在允许支持NX的中央处理单元（CPU ）把某些内存区域标注为 不得执行（non-executable）。换句话说，任何闯入那些区域的源代码，像疾风病毒（Blaster ）这类恶意程序，都只能呆坐在那儿不准 动，因而被剥夺破坏能力。此功能将强化Windows XP操作系统对抗恶名昭彰的缓冲区溢满威胁。NX目前只支持超微（AMD ）K8处理器及英 特尔Itanium 处理器，但未来推出的大多数32和64位处理器皆可望支持此安全功能。

分散式元件物件模型（DCOM）须遵循一套新的限制，即任何元件物件模型（COM ）服务器的每个动作，几乎都受制于存取控制清单（access control list）。另提供更详细的一套COM 授权选项，让系统管理员能更精确调整COM 许可政策。

改良的通讯埠管理（port management ）。不再把关闭通讯埠的任务交由应用程序结束后去执行。以往，如果程序设计师省略关闭的例行 程序，或应用程序当掉，可能任通讯埠开着，导致XP易遭外来攻击。SP2 为鼓励加强通讯埠管理，提供一份应用程序优良名单，只许具有 管理员权限的使用者更改。把某应用程序（比方说点对点程序）列入优良名单，则准许通讯埠自动管理。这类应用程序今后亦可视为通讯 埠的经常使用者，无须管理员权限即可在ICF 开启通讯埠。

新的远端程序呼叫（RPC ）限制协助严加控管通讯状况。XP SP2这方面的改良让系统管理员微调RPC 服务。这种精细的RPC 控制让使用者 指定以某一通讯埠做RPC ，即便该应用程序不在优良名单上也行。RPC 的相关改变很多，包括新的“RestrictRemoteClients ”登录钥 （registry key），在默认状态下即阻挡大多数试图匿名存取系统RPC 界面的远端连线，但不会全面堵死。RPC 界面限制要求RPC 呼叫端 进行身分认证，这使得对界面发动攻击的难度提高，有助于缓和木马程序（Trojan）型攻击。

潜在问题

从安全性的立场观之，前文所提的NX防护不啻是强有力的改良范例。但之前已有报导指出，NX会造成相当多的问题（至少就64位的版本而 言）。最大的问题发生在执行以及时编码（just-in-time code creation）所写的应用程序。另一方面，。NET 架构通用语言执行时源代 码（。NET Framework common language runtime code）已支持SP2 所采用的NX技术。

RPC 相关改变可能最与既有的应用程序格格不入。在SP2 之前安装的Windows XP应用程序中，已有多达数十种使用RPC 服务，全都开启攻 击者趁虚而入的窗口。但随着SP2 问世，情况完全改观。

基于通讯埠管理方式的改变，倘若某应用程序需开启通讯埠，但并未使用过滤器，执行安装的系统管理员必须把该程序置于优良名单上。 内建的防火墙缺省为开启，但MSN 或Windows Messenger 这类IPv4（互联网协定第四版）应用程序为了由外而内建立影音媒体存取连线， 需要利用通讯埠开/ 关自动管理功能。由外内传的服务连线（IPv4），也需要额外调整and/or设定。只听固定通讯埠发号施令的服务，应 徵询使用者容不容许在ICF 环境下开启通讯埠，若获得许可，该服务应使用INetFwV4OpenPort应用程序界面（API ）来更改ICF 规定。

另一个问题是，微软不对盗版的Windows XP提供SP2 增补服务。这听起来满合理的，但安装违法版本的使用者众多，在远东地区尤然，而 此地正是许多蠕虫快速在互联网蔓延的跳板。SP2 会检查产品序号以搜索已知的盗版版本，如果发现系统上的产品序号是已被列入黑名单 者，就不会进行安装。这是可以理解的，但也会降低这波安全功能升级的整体效果。

另有许多SP2 衍生的潜在问题是管理员控制不了的，例如，一些订制应用程序的程序设计码都必须重写。但至少，现在你已心知肚明，一 旦问题冒出来，该从何处检查起，而不是在部署XP SP2之后，才发现最重要的应用程序大多被SP2 给封杀了。