Bezpečnost: XP vs. Vista (1)
5.5.2009, Jiří Černý, článek
Datum vydání Windows 7 se rychle blíží. Až do té doby jsme však víceméně odkázáni na používání XP, případně Vist. Jak si tyto dva operační systémy vlastně stojí z hlediska bezpečnosti a co by nejen domácí uživatelé měli znát, chtějí-li mít v tomto směru lepší pocit?
Ve druhém pokračování seriálu o bezpečnosti se blíže podíváme na operační systémy Windows XP a Windows Vista. Ačkoliv XP jsou už relativně starou záležitostí, má podle mě smysl se jimi (i kdyby jen ve stručnosti) zabývat, neboť celá řada uživatelů (včetně mě) je stále používá. Dá se tedy předpokládat, že minimálně do přechodu na Windows 7 budou pro spoustu z nás XP (a tím i možnosti jejich zabezpečení) pořád aktuální tématikou. V dubnu se nicméně objevila informace, dle které Microsoft ukončuje všeobecnou podporu pro Windows XP Professional a nadále už budou vycházet pouze ty aktualizace, které řeší právě bezpečnost systému. Tato podpora je však naštěstí předběžně garantovaná až do 8. dubna 2014.
Pro větší přehlednost a zejména s ohledem na délku textu jsem rozdělil článek do více tématických celků, které uveřejním postupně. Smyslem každopádně nemá být ani tak hodnotit „který OS je lepší“, jako spíše seznámit uživatele s problematikou celkově vzato a poradit mu, co on sám může pro větší pocit bezpečí udělat. Stojí nicméně alespoň za zmínku, že před cca třemi lety vydal Symantec zprávu z níž plynulo, že úroveň zabezpečení by měla být u Windows Vista paradoxně nižsí, než právě v případě XP. Jak moc se tato zpráva vlastně nakonec ukázala být pravdivou, ponechám už na vašem úsudku.
Informace o první vážné bezpečnostní chybě ve Windows XP jsem osobně zaznamenal někdy v roce 2001. Jednalo se o službu UPNP (Universal Plug and play), kteroužto nebyl problém zneužít pro potřeby mého oblíbeného buffer overflow útoku (přetečení vyrovnávací paměti). Nemluvě pak o mém neoblíbeném DoS, či Ddos. Od té doby už uteklo něco vody a vyšlo mnoho oprav/záplat, včetně tří Service Packů. Žádný z nich však pochopitelně nepředstavoval finální řešení veškerých možných problémů. Pokud se někdo nechal ukolébat například čerstvě nainstalovaným SP 2 a aktivním integrovaným firewallem, mohl být ošklivě probuzen do reality chybou v implementaci RDP, kterou v roce 2005 „představil“ portál Secunia.
Pakliže bychom se věnovali spíše aplikacím, lze jmenovat potíže s Apple QuickTime (2008), Microsoft Excel XP (2002), Windows Media Player (2002) a pochopitelně dlouhou řadu různých nedostatků Internet Exploreru, který vřele doporučuji vůbec nepoužívat. Je tedy evidentní, že rozhodně nestačí sledovat aktuální bezpečnostní situaci výhradně kolem vlastního OS.
O Service Packu 1 toho příliš napsat nelze a vlastně je to i zbytečné, neboť podpora tohoto balíčku byla již dávno ukončena. Podle některých názorů fungoval systém s SP 1 mnohem rychleji, nicméně konkrétní testy nakonec ukázaly, že SP1 je asi jen o 0,5% rychlejší, než SP 2. Zajímavostí té doby pro mě byl (na instalačním CD-ROM) přiložený Microsoft .NET Framework – tuto platformu jsem si mimochodem v mezičase dostatečně stačil znechutit a k dnešnímu dni ji doslova nemůžu přijít na jméno.
XP Service Pack 2 pro mnohé uživatele představoval doslova noční můru. Na některých počítačích výrazně snížil stabilitu, vyžadoval příliš mnoho místa na HDD, vylepšené zabezpečení Internet Exploreru bylo jednak otravné a jednak zrovna dvakrát dobře nefungovalo. Příkladem budiž blokování některých lokálních (bezpečných) scriptů, potažmo FTP v Total Commanderu. Stejně tak ovšem SP 2 přinesl propracovanější a implicitně zapnutý firewall, dohled nad antivirovým programem (pokud tento neměl žádné problémy s Centrem zabezpečení) a další věci.
SP 3 byl pak z našeho výčtu tím posledním. Připomeňme, že cca desetina z počtu nových oprav (které celkově obsahoval) se bezprostředně týkala právě bezpečnosti operačního systému. Service Pack 3 kromě jiného obsahuje službu Network Access Protection, umožňující administrátorům zjistit, zda je počítač právě se připojující do sítě dostatečně zabezpečený a je tedy vůbec možné povolit mu přístup. Další důležitou věcí byl upgradovaný generátor náhodných čísel, kritizovaný již z dob Windows 2000. Paradoxem je, že Windows XP s SP3 se dočkali záplaty prakticky už do 24 hodin a to „aktualizace zabezpečení aplikace Internet Explorer 7 pro Windows XP“. Zmínit musím ještě Microsoft Kernel Mode Cryptographic Module a detekci routerů Black hole.
Následující text přímo vychází ze starších článků Chada Perrina, nicméně právě ta jeho doporučení zde podle mě zkrátka chybět nemohou. Ihned po instalaci operačního systému zakažte potenciálně nebezpečné funkce, jakými je například autorun, nebo účet hosta. Podobně naložte i s nepotřebnými službami typu IIS, NetMeeting Remote Desktop Sharing a dalšími (kompletní seznam naleznete zde). Využijte dostupných triků pro nastavení bezpečného e-mailu, stejně jako neprodleně stáhněte software pro ochranu před malwarem. Samostatným tématem jsou rovněž aktualizace. Rozhodně byste nikdy neměli aktualizovat výhradně MS Windows a kromě něj pak už nic dalšího (viz. mé povídání o nedostatečně zabezpečených aplikacích). Již stažené aktualizace raději ještě ověřujte.
Chad také radí neustále hledat různé další alternativy k aplikacím, které standardně používáte, neboť nikdy nakonec nemůžete vědět, zda se vám nepoštěstí narazit na nějaké kvalitnější. Úplnou samozřejmostí by měl být firewall, kterému se ale budu detailněji věnovat níže. Konečně promyslete, jestli opravdu potřebujete využívat právě Windows XP :) a pokud ano, dodržujte pokud možno i toto desatero obecně platných zásad (tedy formulovaných bez ohledu na typ používaného operačního systému).
je soustředěno (aktualizace SP 2) na tři základní okruhy: ochrana proti virům, automatické aktualizace a brána firewall. Ve výpisu možností si dávejte pozor zejména na variantu „nenalezeno“. Jak už jsem naznačil, některé antivirové programy Centrum zabezpečení zkrátka nedokáže detekovat, tzn. se váš počítač na první pohled jeví jako nechráněný. Věnovat se zde však chci spíše firewallu. Právě tahle Windows aplikace měla totiž už od počátku do kvalitní ohnivé zdi hodně daleko – vlastně šlo o pouhý filtr, který nezvládal ani kloudně kontrolovat odchozí provoz. O jiných nedostatcích vůbec nemluvě.
Firewall si tedy raději stáhneme z Internetu. Pokud preferujete freeware, což předpokládám, navrhuji řekněme Kerio, ZoneAlarm, nebo Sygate. Nejoptimálnější by samozřejmě byl i HW (čí síťový) firewall, který jak bonus zvládne řadu dalších věcí. Konečně nám zbývají ještě automatické aktualizace. Doporučuji je vypnout - respektive nakonfigurovat tak, aby byl uživatel po detekci nových záplat nejprve dotázán na další postup. To vám umožní udržet si větší kontrolu nad tím, co všechno si vlastně do počítače instalujete. Není ani od věci spustit konzoli (gpedit.msc) a zablokovat automatický restart po instalaci automatických aktualizací, pokud vás tato nepříjemnost snad trápí. Nastavit se toho zde ovšem dá mnohem více.
Krajní variantou je „zakázat“ aktivitu centra kompletně (užitečné ve chvíli, kdy zabezpečení máte dávno vyřešené nastahovanými prográmky a přesto vás XP neustále obtěžují hláškou typu „počítač může být ohrožen“) čehož dosáhneme spuštěním „Services.msc“, následným vyhledáním Security center a volbou Disabled v záložce Startup type (vyvoláme kliknutím na pravé tlačítko myši).
Do problémů se uživatelé mohou občas dostat i díky naprostým banalitám. Tak například při instalaci Windows XP Home nezjišťoval instalátor heslo administrátora a tudíž byl systém nechráněný. Heslo lze ovšem dodatečně nastavit přes příkazový řádek zadáním „net user administrator PASSWORD“, přičemž „password“ nahradíte vámi zvolenou kombinací písmen/čísel. Doporučuji určitě i průběžně zálohovat registry, například takový prográmek ERUNT to umí skvěle
Přístup do XP je snadné v případě potřeby i „zamknout“ - při startu potom bude systém vyžadovat vložení speciální diskety. Pokud spustíte syskey.exe a máte povolené šifrování, klikněte na „aktualizovat“ a uložte klíč pro spuštění na disketu (v sekci věnované generování hesla). Toto nastavení pochopitelně jde zase zrušit zrušit a využijete ho spíše v situaci, kdy má k vašemu počítači přístup více lidí. Tehdy by vás mohla nakonec zajímat i regulace přístupových práv k souborům a jak vlastně na ní - např. v XP Home bylo totiž „Zabezpečení“ potlačeno souborem rshx32.dll, který je však možné rovněž obejít.
- pokračování příště -
Pro větší přehlednost a zejména s ohledem na délku textu jsem rozdělil článek do více tématických celků, které uveřejním postupně. Smyslem každopádně nemá být ani tak hodnotit „který OS je lepší“, jako spíše seznámit uživatele s problematikou celkově vzato a poradit mu, co on sám může pro větší pocit bezpečí udělat. Stojí nicméně alespoň za zmínku, že před cca třemi lety vydal Symantec zprávu z níž plynulo, že úroveň zabezpečení by měla být u Windows Vista paradoxně nižsí, než právě v případě XP. Jak moc se tato zpráva vlastně nakonec ukázala být pravdivou, ponechám už na vašem úsudku.
Informace o první vážné bezpečnostní chybě ve Windows XP jsem osobně zaznamenal někdy v roce 2001. Jednalo se o službu UPNP (Universal Plug and play), kteroužto nebyl problém zneužít pro potřeby mého oblíbeného buffer overflow útoku (přetečení vyrovnávací paměti). Nemluvě pak o mém neoblíbeném DoS, či Ddos. Od té doby už uteklo něco vody a vyšlo mnoho oprav/záplat, včetně tří Service Packů. Žádný z nich však pochopitelně nepředstavoval finální řešení veškerých možných problémů. Pokud se někdo nechal ukolébat například čerstvě nainstalovaným SP 2 a aktivním integrovaným firewallem, mohl být ošklivě probuzen do reality chybou v implementaci RDP, kterou v roce 2005 „představil“ portál Secunia.
Pakliže bychom se věnovali spíše aplikacím, lze jmenovat potíže s Apple QuickTime (2008), Microsoft Excel XP (2002), Windows Media Player (2002) a pochopitelně dlouhou řadu různých nedostatků Internet Exploreru, který vřele doporučuji vůbec nepoužívat. Je tedy evidentní, že rozhodně nestačí sledovat aktuální bezpečnostní situaci výhradně kolem vlastního OS.
XP a Service Packy
O Service Packu 1 toho příliš napsat nelze a vlastně je to i zbytečné, neboť podpora tohoto balíčku byla již dávno ukončena. Podle některých názorů fungoval systém s SP 1 mnohem rychleji, nicméně konkrétní testy nakonec ukázaly, že SP1 je asi jen o 0,5% rychlejší, než SP 2. Zajímavostí té doby pro mě byl (na instalačním CD-ROM) přiložený Microsoft .NET Framework – tuto platformu jsem si mimochodem v mezičase dostatečně stačil znechutit a k dnešnímu dni ji doslova nemůžu přijít na jméno.
XP Service Pack 2 pro mnohé uživatele představoval doslova noční můru. Na některých počítačích výrazně snížil stabilitu, vyžadoval příliš mnoho místa na HDD, vylepšené zabezpečení Internet Exploreru bylo jednak otravné a jednak zrovna dvakrát dobře nefungovalo. Příkladem budiž blokování některých lokálních (bezpečných) scriptů, potažmo FTP v Total Commanderu. Stejně tak ovšem SP 2 přinesl propracovanější a implicitně zapnutý firewall, dohled nad antivirovým programem (pokud tento neměl žádné problémy s Centrem zabezpečení) a další věci.
SP 3 byl pak z našeho výčtu tím posledním. Připomeňme, že cca desetina z počtu nových oprav (které celkově obsahoval) se bezprostředně týkala právě bezpečnosti operačního systému. Service Pack 3 kromě jiného obsahuje službu Network Access Protection, umožňující administrátorům zjistit, zda je počítač právě se připojující do sítě dostatečně zabezpečený a je tedy vůbec možné povolit mu přístup. Další důležitou věcí byl upgradovaný generátor náhodných čísel, kritizovaný již z dob Windows 2000. Paradoxem je, že Windows XP s SP3 se dočkali záplaty prakticky už do 24 hodin a to „aktualizace zabezpečení aplikace Internet Explorer 7 pro Windows XP“. Zmínit musím ještě Microsoft Kernel Mode Cryptographic Module a detekci routerů Black hole.
Deset bezpečnostních tipů pro Windows XP
Následující text přímo vychází ze starších článků Chada Perrina, nicméně právě ta jeho doporučení zde podle mě zkrátka chybět nemohou. Ihned po instalaci operačního systému zakažte potenciálně nebezpečné funkce, jakými je například autorun, nebo účet hosta. Podobně naložte i s nepotřebnými službami typu IIS, NetMeeting Remote Desktop Sharing a dalšími (kompletní seznam naleznete zde). Využijte dostupných triků pro nastavení bezpečného e-mailu, stejně jako neprodleně stáhněte software pro ochranu před malwarem. Samostatným tématem jsou rovněž aktualizace. Rozhodně byste nikdy neměli aktualizovat výhradně MS Windows a kromě něj pak už nic dalšího (viz. mé povídání o nedostatečně zabezpečených aplikacích). Již stažené aktualizace raději ještě ověřujte.
Chad také radí neustále hledat různé další alternativy k aplikacím, které standardně používáte, neboť nikdy nakonec nemůžete vědět, zda se vám nepoštěstí narazit na nějaké kvalitnější. Úplnou samozřejmostí by měl být firewall, kterému se ale budu detailněji věnovat níže. Konečně promyslete, jestli opravdu potřebujete využívat právě Windows XP :) a pokud ano, dodržujte pokud možno i toto desatero obecně platných zásad (tedy formulovaných bez ohledu na typ používaného operačního systému).
Bezpečnostní centrum Windows XP
je soustředěno (aktualizace SP 2) na tři základní okruhy: ochrana proti virům, automatické aktualizace a brána firewall. Ve výpisu možností si dávejte pozor zejména na variantu „nenalezeno“. Jak už jsem naznačil, některé antivirové programy Centrum zabezpečení zkrátka nedokáže detekovat, tzn. se váš počítač na první pohled jeví jako nechráněný. Věnovat se zde však chci spíše firewallu. Právě tahle Windows aplikace měla totiž už od počátku do kvalitní ohnivé zdi hodně daleko – vlastně šlo o pouhý filtr, který nezvládal ani kloudně kontrolovat odchozí provoz. O jiných nedostatcích vůbec nemluvě.
Firewall si tedy raději stáhneme z Internetu. Pokud preferujete freeware, což předpokládám, navrhuji řekněme Kerio, ZoneAlarm, nebo Sygate. Nejoptimálnější by samozřejmě byl i HW (čí síťový) firewall, který jak bonus zvládne řadu dalších věcí. Konečně nám zbývají ještě automatické aktualizace. Doporučuji je vypnout - respektive nakonfigurovat tak, aby byl uživatel po detekci nových záplat nejprve dotázán na další postup. To vám umožní udržet si větší kontrolu nad tím, co všechno si vlastně do počítače instalujete. Není ani od věci spustit konzoli (gpedit.msc) a zablokovat automatický restart po instalaci automatických aktualizací, pokud vás tato nepříjemnost snad trápí. Nastavit se toho zde ovšem dá mnohem více.
Krajní variantou je „zakázat“ aktivitu centra kompletně (užitečné ve chvíli, kdy zabezpečení máte dávno vyřešené nastahovanými prográmky a přesto vás XP neustále obtěžují hláškou typu „počítač může být ohrožen“) čehož dosáhneme spuštěním „Services.msc“, následným vyhledáním Security center a volbou Disabled v záložce Startup type (vyvoláme kliknutím na pravé tlačítko myši).
Další triky pro Windows XP
Do problémů se uživatelé mohou občas dostat i díky naprostým banalitám. Tak například při instalaci Windows XP Home nezjišťoval instalátor heslo administrátora a tudíž byl systém nechráněný. Heslo lze ovšem dodatečně nastavit přes příkazový řádek zadáním „net user administrator PASSWORD“, přičemž „password“ nahradíte vámi zvolenou kombinací písmen/čísel. Doporučuji určitě i průběžně zálohovat registry, například takový prográmek ERUNT to umí skvěle
Přístup do XP je snadné v případě potřeby i „zamknout“ - při startu potom bude systém vyžadovat vložení speciální diskety. Pokud spustíte syskey.exe a máte povolené šifrování, klikněte na „aktualizovat“ a uložte klíč pro spuštění na disketu (v sekci věnované generování hesla). Toto nastavení pochopitelně jde zase zrušit zrušit a využijete ho spíše v situaci, kdy má k vašemu počítači přístup více lidí. Tehdy by vás mohla nakonec zajímat i regulace přístupových práv k souborům a jak vlastně na ní - např. v XP Home bylo totiž „Zabezpečení“ potlačeno souborem rshx32.dll, který je však možné rovněž obejít.
- pokračování příště -
