|
Windows XP SP给安装它的各种用户和组织带来了一系列的问题在发布SP前的几个月微软专门组织人已应对SP带来的潜在问题以加强其安全性笔者在月份曾经撰文指出XP SP在安全方面跨出了一大步但同时会破坏了一些东西我就很多SP引发的潜在问题对TechRepubilc读者进行了预警 然而自从月初XP SP被发布不断传来的由于安装SP引发的兼容问题和软件问题使人感到震惊和沮丧首先让我们看看传闻中SP引发的问题 已知问题 微软发布SP之后很快又发布了Knowledge Base Article 文中指出安装SP会导致一些程序停止工作此文还给出了一个在SP下不能正常工作的程序的列表 因为这次升级的下载量非常大由于在下载升级报时网络会经受一系列下降所以你也许想关闭Windows的自动升级功能(至少是设置为下载任何升级之前提醒我)Windows XP家庭版自动升级到SP需要下载MB数据自动升级从月日开始微软推迟了Windows XP专业版的自动升级用户如果还没准备好那他们有足够的时间禁止自动升级功能 以下问题对于那些安装了SP的用户可能出现 一些FTP客户端失败 流媒体应用程序不能工作 一些email软件不能正确升级和显示新邮件 一些与服务器有关的问题(当运行服务器功能时)包括无法正确识别或响应客户端的请求IIS服务文件共享和远程桌面功能也会有问题 一个已知的问题是Microsoft Business Solutions CRM Sales for Outlook 需要一个补丁 Microsoft LTP客户端使用NAT方式连接服务器时会出现问题 有不少问题出现在多人网络游戏和即时通信软件幸好这不会影响到大多数商业用户 德国的一家安全公司Heise Security发现了存在于SP中的漏洞并认为这些漏洞将使病毒和蠕虫给Windows带来巨大破坏 XP防火墙问题 目前很多问题和默认激活的Windows防火墙(也被称作网络连接内置防火墙ICF)有关如果ICF不能直接处理新的应用程序解决方法是重新配置ICF以使其接受应用程序或手工开启特殊端口微软专门发布了Knowledge Base Article()介绍了XP SP中与ICF相关的问题以及如何解决这些问题 一些管理员可能简单地关闭ICF在大多数公司设置中通常已经有了一个网络防火墙所以他们不需要ICF了然而对于那些没用防火墙的远程用户分支机构和小企业来说应该考虑使用ICF否则他们就把安全的改善寄托在SP上 如果你走运当你运行一个还没有配置为与一个稳定的防火墙一起运行的应用程序时ICF会给出一条错误提示这是Windows防火墙安全警告(Firewall Security AlertFSA)让你快速解决这个应用程序障碍的提示这样操作之后将消除今后的问题 如果系统没有弹出FSA对话框你就必须决定应打开哪个端口并重新手动设置ICF以识别程序微软提供了如下指导以对ICF进行设置 点击开始|运行输入wscuicpl 点击Windows防火墙 点击Exceptions选项卡并选择添加程序 如果列表中出现了从列表选择相应的程序点击ok然后确保在Exceptions对话框中列出的程序是被选中的 我建议你为那些已经手动添加了的程序制作一个列表以便你因遇到其它应用程序而出现问题时再退回来重新选择如果你可以通过这个方法修正问题你就不需要了解更多的技术细节如程序使用的端口等等ICF可以进行自动管理打开或关闭相应的端口因此增加了安全性 如果FSA对话框和手动程序设置都不能解决问题或者该程序名称根本就没出现在Exceptions选项卡中你就必须手动设置防火墙了要做到这点需要用户了解哪个程序使用哪个端口 对于人工设定端口 运行wscuicpl打开Windows防火墙 进入Exceptions选项卡中的Add Port选项键入端口号确定其为TCP或UDP并为其起名 点击Exceptions选项卡检查新服务是否被添加你仍然需要检查服务后面的选择框是否被选中 如果你不知道端口并且不能从服务商的文档中直接查到你就必须在程序正常运行过程中对程序状态进行监视 微软建议读者使用netstat –ano > netstattxt命令监视应用程序参数a列写了所有监听的端口和连接参数n列写了端口号参数o可以识别哪个程序正在使用哪个端口所有被捕捉到的结果将被写入netstattxt文件任务管理器可以显示运行的应用程序使用tasklist /svc可以显示服务 据微软KBA 所述下列程序可能需要你重新配置ICF端口和权限才能正确运行但这并不是完全列表只包括用户经常遇到的程序 Microsoft Visual StudioNET Microsoft SQL Server a(ports and ) Microsoft SMS Server(TCP ) Microsoft Operations Manager SP Microsoft SNA SP Attachmate KEA! Attachmate Extra! Personal Client and (port ) Attachmate Extra! Enterprise (port ) Attachmate Extra! Bundle for TCPIP (port ) Autodesk AutoCAD (port ) Autodesk AutoCAD (port ) Autodesk AutoCAD (port ) Computer Associates ARCserve Computer Associates eTrust and Macromedia ColdFusion MX SE (port ) NetManage ViewNow and Veritas Backup Exec (port )Exec (see documentation)and Volume Manager (port ) Symantec Ghost Server Corporate Edition and AntiVirus Corporate Edition and 结束语 根据年月日SANS(System Administration Networking and Security InstituteSANS Institute)的一项网上调查显示%的用户反映安装XP SP后没有出现问题%的用户出现小问题%的用户问题很大但是他们可以自己修复还有%的用户出现严重问题但是无法自行修复%的用户不得不重装系统最棘手的是那些不能进入安全模式修复而不得不重装系统的那%的用户的只能进行安全恢复或重新安装系统虽然只是%的情形但我正在谈论的也是全球成千上万的系统 安装新的防火墙软件会触发应用程序的问题这些应用程序包括那些客户端的查询和客户端的软件以及必须从服务器上获取数据的应用这些问题是一个正常现象这些问题对于大多数网络管理员来说是容易解决的由于已经他们的网络里已经有了网络防火墙所以只需关闭ICF就行了同样管理员可以查看他们正在使用的防火墙的设置然后使用这些端口设置来配置公司防火墙之外的工作站或笔记本 XP SP在安全方面最显着的(也是直接影响系统管理员的)改进是通过升级可以阻挡绝大多数蠕虫引发的缓沖区溢出(buffer overruns)但是且慢欢呼这个巨大的进步需要依靠No eXecute(NX)特性NX可以防止任何代码在被保护的内存区域中执行这意味着缓沖区溢出仍然会出现但是恶意代码会被移至一个不会对系统造成任何伤害的内存区域进行 问题是现在大量的CPU不支持NX命令实际上只有最新的AMD芯片和一些Intel Itanium服务器的芯片支持这个功能目前为XP系统增加NX功能来提高安全性理论上的帮助大于实际上的帮助但如果NX被更多的芯片所采用在下次你升级系统时将会有重大影响 另一需要记住的是ICF的过滤只是在流量进入系统时发生但对于像按键登陆(keystroke logging)这类的恶意软件它从你的系统向外发送报告ICF的过滤就无能为力了ZDNet UK也提出了一个有趣的观点因为ICF是微软的一个coding项目因此在不久的将来一定会有黑客发现关闭ICF修改ICF配置或欺骗ICF的方法这个观点还需要时间来证明但是已经有防火墙厂商推出了可与SP兼容的防火墙并能在商业级防火墙安装时关闭ICF |
