Windows XP SP2给安装它的各种用户和组织带来了一系列的问题。在发布SP2前的几个月,微软专门组织人已应对SP2带来的潜在问题,以加强其安全性。笔者在6月份曾经撰文指出:"XP SP2在安全方面跨出了一大步,但同时会破坏了一些东西"。我就很多SP2引发的潜在问题对"TechRepubilc"读者进行了预警。
然而,自从8月初XP SP2被发布,不断传来的由于安装SP2引发的兼容问题和软件问题使人感到震惊和沮丧。首先让我们看看传闻中SP2引发的问题。
已知问题
微软发布SP2之后,很快又发布了Knowledge Base Article 842242,文中指出,"安装SP2会导致一些程序停止工作"。此文还给出了一个在SP2下不能正常工作的程序的列表。
因为这次升级的下载量非常大,由于在下载升级报时,网络会经受一系列“下降”,所以你也许想关闭Windows的自动升级功能(至少是设置为"下载任何升级之前提醒我")。Windows XP家庭版自动升级到SP2需要下载80MB数据,自动升级从8月18日开始。微软推迟了Windows XP专业版的自动升级。用户如果还没准备好,那他们有足够的时间禁止自动升级功能。
以下问题对于那些安装了SP2的用户可能出现:
一些FTP客户端失败。
流媒体应用程序不能工作。
一些e-mail软件不能正确升级和显示新邮件。
一些与服务器有关的问题(当运行服务器功能时),包括无法正确识别或响应客户端的请求。IIS服务、文件共享和远程桌面功能也会有问题。
一个已知的问题是:Microsoft Business Solutions CRM Sales for Outlook 1.2需要一个补丁。
Microsoft L2TP客户端使用NAT方式连接服务器时会出现问题。
有不少问题出现在:多人网络游戏和即时通信软件,幸好这不会影响到大多数商业用户。
德国的一家安全公司"Heise Security"发现了存在于SP2中的漏洞,并认为这些漏洞将使病毒和蠕虫给Windows带来巨大破坏。
XP防火墙问题
目前,很多问题和默认激活的Windows防火墙(也被称作网络连接内置防火墙,ICF)有关。如果ICF不能直接处理新的应用程序,解决方法是重新配置ICF以使其接受应用程序或手工开启特殊端口。微软专门发布了Knowledge Base Article(875357),介绍了XP SP2中与ICF相关的问题,以及如何解决这些问题。
一些管理员可能简单地关闭ICF。在大多数公司设置中,通常已经有了一个网络防火墙,所以他们不需要ICF了。然而,对于那些没用防火墙的远程用户、分支机构和小企业来说,应该考虑使用ICF,否则他们就把安全的改善寄托在SP2上。
如果你走运,当你运行一个还没有配置为与一个稳定的防火墙一起运行的应用程序时,ICF会给出一条错误提示。这是Windows防火墙安全警告(Firewall Security Alert,FSA)让你快速解决这个应用程序障碍的提示。这样操作之后,将消除今后的问题。
如果系统没有弹出FSA对话框,你就必须决定应打开哪个端口,并重新手动设置ICF以识别程序。微软提供了如下指导以对ICF进行设置:
点击"开始|运行",输入wscui.cpl。
点击Windows防火墙。
点击Exceptions选项卡,并选择添加程序。
如果列表中出现了,从列表选择相应的程序,点击ok,然后确保在Exceptions对话框中列出的程序是被选中的。
我建议你为那些已经手动添加了的程序制作一个列表,以便你因遇到其它应用程序而出现问题时再退回来,重新选择。如果你可以通过这个方法修正问题,你就不需要了解更多的技术细节,如程序使用的端口等等。ICF可以进行自动管理,打开或关闭相应的端口,因此增加了安全性。
如果FSA对话框和手动程序设置都不能解决问题,或者该程序名称根本就没出现在Exceptions选项卡中。你就必须手动设置防火墙了。要做到这点,需要用户了解哪个程序使用哪个端口。
对于人工设定端口:
运行wscui.cpl,打开Windows防火墙。
进入Exceptions选项卡中的Add Port选项,键入端口号、确定其为TCP或UDP,并为其起名。
点击Exceptions选项卡,检查新服务是否被添加。你仍然需要检查服务后面的选择框是否被选中。
如果你不知道端口,并且不能从服务商的文档中直接查到。你就必须在程序正常运行过程中对程序状态进行监视。
微软建议读者使用netstat ?ano netstat.txt命令监视应用程序。参数a列写了所有监听的端口和连接;参数n列写了端口号;参数o可以识别哪个程序正在使用哪个端口;所有被捕捉到的结果将被写入"netstat.txt"文件。任务管理器可以显示运行的应用程序,使用"tasklist /svc"可以显示服务。
据微软KBA 875357所述,下列程序可能需要你重新配置ICF端口和权限才能正确运行。但这并不是完全列表,只包括用户经常遇到的程序:
Microsoft Visual Studio.NET
Microsoft SQL Server 2000a(ports 1433 and 1434)
Microsoft SMS 2003 Server(TCP 2701)
Microsoft Operations Manager 2000 SP1
Microsoft SNA 4.0 SP3
Attachmate KEA! 340 5.1
Attachmate Extra! Personal Client 6.5 and 6.7(port 23)
Attachmate Extra! Enterprise 2000(port 23)
Attachmate Extra! Bundle for TCP.IP 6.6(port 23)
Autodesk AutoCAD 2000(port 21)
Autodesk AutoCAD 2002(port 21)
Autodesk AutoCAD 2004(port 21)
Computer Associates ARCserve
Computer Associates eTrust 6.0.100 and 7.0
Macromedia ColdFusion MX SE 6(port 8500)
NetManage ViewNow 1.0 and 1.05
Veritas Backup Exec 9(port 10000),Exec 9.1.4691(see documentation),and Volume Manager 3.1(port 2148)
Symantec Ghost Server Corporate Edition 7.5 and AntiVirus Corporate Edition 8.0 and 9.0
结束语
根据2004年8月24日,SANS(System Administration Networking and Security Institute,SANS Institute)的一项网上调查显示:46%的用户反映安装XP SP2后没有出现问题;27%的用户出现小问题;8%的用户问题很大,但是他们可以自己修复;还有8%的用户出现严重问题但是无法自行修复;7%的用户不得不重装系统。最棘手的是那些不能进入安全模式修复而不得不重装系统的那7%的用户,的只能进行安全恢复或重新安装系统,虽然只是7%的情形,但我正在谈论的也是全球成千上万的系统。
安装新的防火墙软件会触发应用程序的问题,这些应用程序包括那些客户端的查询和客户端的软件,以及必须从服务器上获取数据的应用。这些问题是一个正常现象。这些问题对于大多数网络管理员来说是容易解决的,由于已经他们的网络里已经有了网络防火墙,所以只需关闭ICF就行了。同样,管理员可以查看他们正在使用的防火墙的设置,然后使用这些端口设置来配置公司防火墙之外的工作站或笔记本。
XP SP2在安全方面最显著的(也是直接影响系统管理员的)改进是:通过升级可以阻挡绝大多数蠕虫引发的缓冲区溢出(buffer overruns)。但是,且慢欢呼。这个巨大的进步需要依靠No eXecute(NX)特性。NX可以防止任何代码在被保护的内存区域中执行。这意味着,缓冲区溢出仍然会出现,但是恶意代码会被移至一个不会对系统造成任何伤害的内存区域进行。
问题是现在大量的CPU不支持NX命令,实际上只有最新的AMD芯片和一些Intel Itanium服务器的芯片支持这个功能。目前,为XP系统增加NX功能来提高安全性,理论上的帮助大于实际上的帮助,但如果NX被更多的芯片所采用,在下次你升级系统时将会有重大影响。
另一需要记住的是,ICF的过滤只是在流量进入系统时发生。但对于像按键登陆(keystroke logging)这类的恶意软件,它从你的系统向外发送报告,ICF的过滤就无能为力了。ZDNet UK也提出了一个有趣的观点,因为ICF是微软的一个coding项目,因此在不久的将来一定会有黑客发现关闭ICF、修改ICF配置或欺骗ICF的方法。这个观点还需要时间来证明,但是已经有防火墙厂商推出了可与SP2兼容的防火墙,并能在商业级防火墙安装时关闭ICF。
