日本微软计划月内发布Windows XP最新服务包――Service Pack 2(SP2)。企业用户应当如何应对Windows XP SP2呢?
Windows XP SP2并非像过去的服务包那样只是汇集了OS的修正组件。就像微软特意在其名称后面补充说“Windows XP Service Pack 2配备安全强化功能”一样,旨在强化系统安全的规格改进随处可见。
比如,Windows XP SP2中保护机器免受网络攻击的“Windows防火墙”在默认条件下是有效的。虽说Windows XP本来就配备了名为“互联网接入防火墙(ICF)”的个人防火墙,但这种防火墙不仅功能低,而且默认条件下无效。Windows防火墙不仅大大增强了功能,而且默认条件下是有效的。
然而,最初知道Windows防火墙在默认条件下有效时,记者曾认为“Windows XP SP2可能会使企业内部网络陷入严重混乱之中”。因为Windows防火墙有效后,估计文件和打印机共享以及客户端和服务器应用程序都不能再用了。
因此,记者一直担心:Windows XP SP2刚刚发布以后,企业的系统管理员将会收到大量的诉苦信息,抱怨“共享服务器和应用程序突然不能用了”。
但是,通过在候选发布版(RC)中实际试用Windows XP SP2,以及仔细分析系统配置后,上述担心已经减小了。先从结论上来说的话,在目前仅使用文件和打印机服务器以及普通客户端和服务器应用程序的环境下,看来Windows防火墙产生的影响极其轻微。渐渐明白了:越是正在利用客户端管理软件进行严格的客户端管理的用户,“与Windows防火墙有关的负担”越大。
不会影响文件和打印机共享
首先谈谈“在目前仅使用文件和打印机服务器以及普通客户端和服务器应用程序的环境下,影响极其轻微”的依据。
记者曾一直认为如果在共享文件夹和打印机(作为文件服务器及打印服务器运行)的Windows XP中安装SP2,共享文件和共享打印机就将无法被其他机器使用。因为Windows防火墙会全部拦截这些通信。
但是,这种想法其实是不对的。其实在共享文件夹和打印机的机器上安装Windows XP SP2以后,Windows防火墙会自动地进行宽松设置(开放必要的端口),以免影响文件夹和打印机的共享。
另外,安装Windows XP SP2以后,执行文件夹和打印机共享操作时Windows防火墙同样也会自动地进行宽松设置。在普通个人防火墙中为了共享文件夹和打印机,要么停止个人防火墙,要么必须手动改变设置。而Windows防火墙则避免了这种麻烦。
尽管如此,由于Windows防火墙有效后,作为Windows文件共享基础的“网上邻居”就应当无法再使用了,因此记者曾认为“文件和打印机共享无论如何将会受到限制”。所谓网上邻居,概括地说就是指在Windows的“我的电脑”窗口中显示计算机一览表的功能。该功能不能使用的话,客户端机器就将找不到服务器。
但是,这一点也想错了。Windows防火墙中有一个“例外”,就是“发送广播包后3秒时间里允许从位于同一子网的所有地址进行应答”。由于有这个例外,即使Windows防火墙采取了多么严格的限制,唯独网上邻居都将是有效的。
不限制Windows标准功能的Window防火墙
如上所述,我们已经知道虽说Windows防火墙是有效的,但根本不会对文件打印机共享造成任何影响。
本来,Windows防火墙在原则上是对由外向内的通信(inbound)全部进行限制,而由内向外的通信(outbound)及其应答则完全不加限制。Windows防火墙只在像服务器那样运行的应用程序开始通信时才会发出警告。
所以,对于只使用网络浏览、电子邮件、共享文件夹、进行普通处理的客户端和服务器型应用程序的用户,Windows防火墙根本不会产生影响。即使显示Windows防火墙的警告,具有机器“管理员权限”的用户也能通过其警告窗口变更Windows防火墙的设置。
Windows防火墙有时会变成负担
另一方面,对于有的企业用户,Windows防火墙将是一种负担。比如,使用旨在进行软件发布和收集inbound的客户端管理工具的企业。为了使用这些工具,要么必须将Windows防火墙设置为无效,要么必须要有这些工具的运行软件,或者在Windows防火墙中设置所用的端口。
但是,要想对大量机器上的Windows防火墙进行一元化管理,只能是要么使用活动目录(Active Directory)的组策略功能,要么作为登录脚本而读入变更Windows防火墙设置的批文件。没有活动目录的用户,就可能出现“为了使用用来实现客户端管理作业自动化的工具,必须进行手工作业”的情况。
另外,Windows XP SP2不能利用微软正在免费向Windows Server用户提供的补丁程序发布工具“Software Update Services(SUS)”进行发布。能否用微软宣称具有软件发布功能的“Systems Management Server”客户端管理工具发布Windows XP SP2,目前也不清楚。
企业用户如何利用Windows XP SP2?
那么,企业用户应当如何利用Windows XP SP2呢?大大增强了安全性的Windows XP SP2带给用户的好处确实非常大。曾经常为病毒邮件和蠕虫蔓延而苦恼的用户无论如何也要积极去使用Windows XP SP2。
但是,对于已经采取了一定的安全对策和客户端管理的企业用户而言,Windows XP SP2则是一个烫手山芋。因此,建议那些正在犹豫是否使用Windows XP SP2的用户首先等一等。
其实,按照惯例Windows XP SP2发布后针对Windows XP SP1的补丁程序最少会提供2年时间。希望上述用户利用这2年的“过渡期”,对Windows XP SP2进行完整的评估以后,再决定是否使用Windows XP SP2。
另外,重新卸载安装的Windows XP SP2时,需要注意的是卸载方法和过去不一样。过去的服务包可以通过显示在“控制面板”中“添加和删除程序”窗口中的列表进行删除。但是,Windows XP SP2并不登记在此列表中。如果不检查位于“添加和删除程序”窗口右上角的“更新程序显示”栏,就不在列表中显示。如果不了解这一点,就会因为无法卸载而焦急万分。