Отключение опасных служб
В сетевой сфере обновлений большего всего. Если после установки Windows XP SP1 службы Оповещатель (Alerter) и Служба сообщений (Messenger) запускались в ручную и автоматически соответственно, то после установки SP2 данные службы будут переведены в состояние Отключена. Сделано это было с целью повышения безопасности, т.к. при работа этих служб создавала обширное поле для деятельности злоумышленников. Эти службы практически не использовались и до появления SP2 из-за их слабой защищенности, поэтому Microsoft решила их и вовсе отключить, чтобы повысить безопасность свой системы и увеличить ее быстродействие за счет освоьождения оперативной памяти.
Примечание: Имейте ввиду, что если вы до установки SP2 использовали программы, для нормальной работы которых были необходимы эти 2 службы, то после установки SP2 вам необходимо будет перевести эти службы в режим Автоматически.
Поддержка Bluetooth
В SP2 была включена поддержка Bluetooth (беспроводная связь, которая в основном используется для подключения телефона и перефирийных устройств к комьютеру). Теперь вы можете следующее:
- Связать Bluetooth устройство и комьютер
- Передавать файлы с и на Bluetooth устройство
- Печатать на Bluetooth принтер
- Обеспечивать выход в интернет с помощью мобильного телефона, поддерживающего технологию Bluetooth
Также поддерживаются следующие Bluetooth профили
- Personal Area Networking (PAN). Разрешает IP соединения через технологию Bluetooth
- Hard Copy Replacement Profile (HCRP). Разрешает печать
- Host Interface Device (HID). Включает Bluetooth клавиатуры, мыши и джойстики
- Dial-Up Networking. Позволяет мобильным телефонам, подключенным через Bluetooth работать в качестве модемов
- Object Push Profile (OPP). Позволяет передавать файлы
- Virtual COM ports (SPP). Позволяет программа соединяться с Bluetooth устройствами
Проблема с доступом к компьютеру из сети при использовании Windows Firewall
Если вы решили использоваться Windows Firewall, который был введен в SP2, то можете столкнуться с проблемой доступа к компьютеру из сети. Человек, который пытается получить доступ к вашему компьютеру, может получить одно из следуюших сообщений об ошибке:
- Unable to access the computer Computer_Name. Раньше было сообщение Access is denied
- Unable to access the computer Computer_Name. Раньше было сообщениеThe network path was not found.
- Failed to open Group Policy object on Computer_Name. You might not have appropriate rights
- Details: The network path was not found.
- An object (Computer) with the following name cannot be found: “Computer_Name.” Check the selected object types and location for accuracy and ensure that you have typed the object name correctly, or remove this object from the selection.
- Computer Computer_Name cannot be managed. The network path was not found. To manage a different computer, on the Action menu, click Connect to another computer.
- System error 53 has occurred. The network path was not found.
Проблема эта возникает из-за того, обращение из сети происходит по 445 порту, а этот порт по умолчанию закрыт в Windows Firewall. Чтобы решить эту проблема, надо открыть 445 порт, делается это так:
- Заходим в Пуск -> Выполнить -> вводим cmd
- В командной строке вводим netsh firewall set portopening TCP 445 ENABLE и нажимаем Enter
В результате вы получите ответ системы OK. Если же служба не запущена, то вы получите соответствующее сообщение.
Теперь ваш компьютер будет доступен из сети.
Сетевые изменения
В SP2 произошло изменение службы Запуск серверных приложений DCOM, были введены и некие изменения в технологии TCP/IP и технологии удаленного вызова процедур (RPC), что уменьшает вероятность успешной атаки с использованием вредоносного кода. Теперь в SP2 по умолчанию выполняемый модуль RPC на RPC-сервере ограничивает доступ не прошедших проверку подлинности RPC-клиентов, подключающихся к RPC-серверам, работающим на этом компьютере. Клиент считается прошедшим проверку подлинности, если он использует именованный канал для связи с сервером или если он использует RPC-безопасность. Если вы хотите выключить это ограничение, то вы можете изменить это значение в групповых политиках в разделе Конфигурация компьютера -> Административные шаблоны -> Система -> Удаленный вызов процедур.
Все эти нововведения позволяют увеличить безопасность вашего компьютера и повысить надежность службы удаленного вызова процедур, которая часто подвергалась нападению злоумышленников.
Брандмауэр Интернета (Windows Firewall) был в Windows XP с самого начала, но в SP2 он подвергся серьезным переработкам. Брандмауэр выступает в качестве сетевого экрана между вашим компьютером и сетью, он позволяет обеспечить безопасное соединение вашего компьютера с внешней сетью через TCP/IP версии 4 (IPv4) и TCP/IP версии 6 (IPv6). В Windows Firewall вы можете настроить следующие пункты:
- Включить фильтрацию по портам
- Включить фильтрацию по приложениям
- Сконфигурировать основные ICMP настройки
- Записывать в log-файл происходящие события
Теперь после установки SP2 Windows Firewall будет сразу включен (до SP2 он был по умолчанию выключен и его необходимо было включать), он будет обеспечивать защиту всех имеющихся сетевых подключен и брать под защиту каждое новое созданное. После установки SP2 и работе Windows Firewall вы можете столкнуться с проблемой, что некоторые программы перестанут корректно работать в сети, чтобы решить эту проблему вам нужно будет указать все эти программы в фильтрах Windows Firewall.
Загрузочная безопасность
В предыдущих версиях Windows XP было небольшое окошко между загрузкой сетевых драйверов и запуском службы брандмауэра, что позволяла провести атаку в этот промежуток времени. Теперь же Windows сразу загружает необходимые драйвера перед загрузкой сетевых подключений, что позволяет обеспечить надежную защиту вашего компьютера.Создана так называемая загрузочная безопасность, которая загружается вместе с сетевыми подключениями и работает до момента загрузки брандмауэра. Загрузочная безопасность не настраивается, она отклоняет все внешные соединения до момента загрузки брандмауэра. Если же загрузка Windows Firewall не удалась (была прервана из-за какой-либо ошибки и т.п.), то будут блокированы все внешние подключения, что позволит обеспечить защиту компьютера от атак из сети. Это создает и некие трудности, если Windows Firewall не загрузился, то системные администраторы не смогут настроить удаленно компьютер, т.к. Загрузочная безопасность не позволит вам подключиться к этому компьютеру. Чтобы решить эту проблему, вы можете изменить значение запуска службы Брандмауэр Интернета (ICF) /Общий доступ к Интернету (ICS) на Отключена и остановить эту службу, но имейте ввиду, что тем самым вы отключаете все средства по защите вашего компьютера (данный метод рекомендуется, если вы используете сторонние брандмауэры, например Outpost Firewall и т.п.).
Общие настройки для сетевых подключений
Раньше вы могли вырать отдельно настройки безопасности для каждого сетевого подключения, теперь же единые настройки применяются ко ВСЕМ сетевым подключениям. Это позволяет упростить настройку безопасности ваших сетевых подключений.
Безопасность по портам
Если раньше при открытии какого-либо порта ваш компьютер был доступен по этому порту и из локальной сети, и из интернета, то теперь вы можете фильтровать траффик и открывать порты отдельно для локальной сети, IP адреса и т.д. Эти нововведения позволят увеличить безопасность вашего комьютера путем фильтрации ненужного траффика. Если ваш компьютер является членом рабочей группы и у вас включен Общий доступ к файлам и принтерам, то система включит фильтрацию. Следующие порты будут открыты только для траффика внутри сети:
- UDP порт 137
- UDP порт 138
- TCP порт 139
- TCP порт 445
Если какая-нибудь программа общается по этим портам с интернетом, то вам необходимо будет открыть эти порты и для работы с сетями, отличными от вашей локальной сети.
Поддержка командной строки
Теперь вы можете выполнять настройки брандмауэра и с помощью командной строки, делается это посредством команды netsh, с помощью этой команды вы можете выполнять следующие действия:
- Настроить состояние брандмауэра (Включен, Выключен, Включен без ограничений)
- Настроить открытые порты
- Настроить параметры записи log-файла
- Настроить параметры ICMP
- Добавлять и удалять программы из списка исключений
Синтаксис команды следующий:
Восстановление настроек Брандмауэра Windows
Если раньше при ошибке в конфигурировании файерволла вам необходимо было искать эту ошибку, то теперь вы можете восстановить исходные значения брандмауэра. После восстановления исходных значений вы можете снова настраивать брандмауэр. Эта функция очень полезна для неопытных пользователей, которые хотят "поиграться" с безопасностью системы.
Настройка Брандмауэра с помощью автоматической установки
В предыдущих версиях Windows XP вы не могли настроить файерволл с помощью автоматической установки Windows XP (подробнее об Автоматической установке можно прочитать на сайте http://unattended.oszone.net). Теперь же с помощью Автоматической установки вы можете настроить у брандмауэра следующие параметры:
- Режим работы
- Программы, которые будут добавлены в лист исключений брандмауэра
- Порты в листе исключений
- Настройки ICMP
- Настройки записи log`ов.
Это позволит вам настроить режим работы файерволла еще до установки Windows XP SP2, что позволит сократить процесс "доводки до ума" операционной системы после инсталляции.
Соединение IPv6 Брандмауэра и Брандмауэра Windows
В предыдущих версиях Windows XP Брандмауэр Windows фильтровал только IPv4 траффик, для фильтрации IPv6 траффика нужно было ставить специальный Дополнительный Сетевой пакет. В SP2 были соединены эти два файерволла, в результате чего обеспечивается фильтрация как IPv4 траффика, так и IPv6 траффика.