Novinky v zabezpečení Windows XP Service Pack 2, 2. část

V dnešní době existuje vysoké riziko infiltrace ze sítě, do které je počítač připojen. Proto Windows XP SP2 přináší několik velkých změn právě v oblasti zabezpečení připojení k síti. Podobněji se na novinky podíváme v dnešní druhé části článku.

Související články

Novinky v zabezpečení Windows XP Service Pack 2, 1. část
Novinky v zabezpečení Windows XP Service Pack 2, 2. část
Novinky v zabezpečení Windows XP Service Pack 2, 3. část

Jak „zamknout“ síť

V oblasti ochrany sítě Microsoft udělal změnu převážně ve třech oblastech. První z nich je Windows Firewall, druhou zdokonalení modelu DCOM a třetí zdokonalení vzdáleného volání procedur (RPC).

Firewall pro všechny

Windows Firewall funguje jako „ochranná hráz“ proti útokům zevnitř i z venku. Jednodušší forma firewallu (dříve známá jako Internet Connection Firewall (ICF)) již existovala v předchozích verzích Windows.

Service Pack 2 tento bezpečnostní prvek posiluje ve výbavě a hlavně zde zavádí jednu zásadní změnu – firewall je ve výchozím stavu zapnutý. Je to opět změna zavedená zejména kvůli laické veřejnosti, která někdy ani netuší pravý význam slova firewall. Právě u ní by tento prvek mohl zamezit masivnějšímu útoku červů zneužívajících různé otevřené porty sítě.

Nabízený firewall, ačkoliv je v SP2 podstatně propracovanější, samozřejmě spektrem nabízených služeb neútočí na pozici komerčních řešení třetích stran a pravděpodobně se o to ani nesnaží. Jeho místo je poziciováno spíše do oblasti základní výbavy systému – stejně jako jsou bezpečnostní pásy v autě.

Přístup do nastavení firewallu je možný opět z Centra zabezpečení.

Klepněte pro větší obrázek Klepněte pro větší obrázek

Nastavení režimu spuštění firewallu * Definice vyjímek pro firewall

Dle dokumentace filtrování funguje pomocí zkoumání stavu paketů a informačního kontextu připojení. Celkově Windows Firewall užívá bezpečnostní politiku o třech základních pravidlech:

  • Jakýkoli paket, který odpovídá nastavení pravidel internetového provozu se předá dál.
  • Odeslaný paket, který neodpovídá nastavení pravidel internetového provozu zanechá nový záznam v tabulce internetového provozu a předá se dál.
  • Přijatý paket, který neodpovídá nastavení pravidel provozu je zahozen.

Tato tři pravidla ve výchozím nastavení umožňují běžnému uživateli normální přístup na internet a vybírání e-mailové pošty při současném zamezení toku nevyžádaných paketů.

V případě přítomnosti více síťových připojení je možné nastavit, která rozhraní bude nebo nebude chránit. Samozřejmě v běžném životě to není natolik jednoduché, a proto je možné nadefinovat výjimky pro daná pravidla a to buď ve formě pravidla pro konkrétní aplikaci nebo pravidla pro konkrétní síťový port.

Klepněte pro větší obrázek Klepněte pro větší obrázek

Upřesnění nastavení a cílení firewallu * Povolení komunikace konkrétní aplikace

Klepněte pro větší obrázek Klepněte pro větší obrázek

Změna oboru konkrétního pravidla * Otevření TCP/UDP portu

Klepněte pro větší obrázek

Úprava konfigurace služby

Nastavení firewallu a výjimek si nastavuje sám uživatel nebo správce domény podle pravidel zásad skupin. Zásady skupin, pokud existují, mají vždy přednost. Pokud jsou tyto zásady skupin aplikovány, bude okno firewallu vyšedlé.

V rámci konfigurace se dají nastavit jednotlivé povolné aplikace, povolit nové porty a nastavit, jak bude počítač reagovat na zprávy ICMP („ping“).

Klepněte pro větší obrázek Klepněte pro větší obrázek

Povolení komunikace pro konkrétní službu * Konfigurace ICMP

Výjimky, nadefinované v rámci firewallu mohou mít buď globální nebo lokální charakter. Globální v tomto případě znamená, že port, program či službu může použít kdokoli, kdekoli, dokonce v internetovém prostředí. Lokální se pak omezuje na možnost použití portu, programu či služby v rámci lokální podsítě – vlastní sítě LAN daného počítače.

Model DCOM (Distributed Component Object Model)

Windows XP SP2 slibuje lepší nastavitelnost protokolu DCOM omezující aktivaci, spouštění a výsady volání protokolu DCOM a současně rozlišující mezi lokálními a vzdálenými klienty.

Každému je automaticky povoleno lokální spuštění, lokální aktivace a lokální povolení volání, které by mělo umožnit bezproblémovou lokální práci. Při síťové práci však nezískají povolení ke vzdálenému volání anonymní klienti. Automatické povolení vzdálené aktivace a spouštění aplikací dostávají pouze správci.

Vedle rozsáhlého systémového bezpečnostního nastavení DCOM mají jednotlivé COM servery možnost nastavit omezení práv uživatelů.

Existují čtyři nové povolovací úrovně pro spouštění COM serverů:

  • místní spuštění
  • vzdálené spuštění
  • lokální aktivace
  • vzdálená aktivace

Pro přístup ke COM serveru byly zavedeny dvě nové povolovací úrovně: místní volání a vzdálená volání.

Více informací o nových bezpečnostních úrovních DCOM získají správci a vývojáři zde přímo v materiálech Microsoftu.

Vzdálené volání procedur (Remote Procedure Call)

Vzdálené volání procedur (Remote Procedure Call) je prostředek odesílání zpráv umožňující aplikaci jednoho počítače volat služby dostupné na různých počítačích v rámci sítě. RPC se běžně používá pro vzdálenou správu počítačových sítí nebo ke sdílení dokumentů a tiskáren. Běžně nainstalované systémy XP obsahují více než 60 služeb na bázi RPC. Ty zaznamenávají klientské požadavky na síti, většinou v rámci procesů SVCHOST.exe.

V předchozích verzích operačního systému Windows XP bylo RPC prakticky nepoužitelné v kombinaci s ICF (předchůdce Windows Firewallu v SP2). ICF totiž blokoval veškerá volání RPC zvenčí, což narušovalo funkci sdílení dokumentů a tisku, vzdálenou správu a funkci několika dalších služeb.

Windows Firewall ve Windows XP SP2 by měl tento přístup (pro který řada uživatelů předchozí verzi ICF nepoužívala) změnit – jakmile se proces pokusí otevřít port s příznakem služby RPC, dojde k přijmutí požadavku za situace, kdy bude volající používat lokální systém, síťovou službu nebo bude podléhat bezpečnostním pravidlům lokální služby. Jinými slovy, pouze tehdy, kdy bude proces představovat skutečnou službu. Tímto se snižuje nebezpečí, že si port neoprávněně otevře program jako je trojský kůň, který se bude vydávat za RPC server.

Související v Databázi znalostí:

Firewall ve Windows XP
Firewall hlásí blokaci
Velikost packetu

Co nás čeká příště?

V příštím – třetím – díle se podíváme, jaké nové prvky přinese Windows XP SP2 v oblasti zabezpečení paměti, spouštění aplikací a v dalších produktech, jako je Internet Explorer či Outlook Express.

Diskuze (10) Další článek: Mozilla 1.7.2 Firefox 0.9.3 Thunderbird 0.7.3 jsou k dispozici v češtině

Témata článku: Windows, Internet, Internet Explorer, Windows XP, DCO, Předchozí model, Windows +, WIN + X, Pingu, Lokální charakter, Novinky, Porta, Lokální síť, Bezpečnostní pás, Window, Zabezpečení, Anonymní síť, Bezpečnostní služba, Novi, Port, Aktivace, Nové pravidlo, Firewall, Bezpečnostní prvek, Lokální systém



16 míst na mapách Googlu a Microsoftu, které nesmíte vidět. Nahradily je čtverečky a mlha

16 míst na mapách Googlu a Microsoftu, které nesmíte vidět. Nahradily je čtverečky a mlha

** Internet se roky bavil umělé rozčtverečkovanými místy v mapách ** Postupně jich ale ubývá, nebo se jedná o běžné chyby ** Výjimkou je Evropa. Tady čtverečkujeme až až

Jakub Čížek
Mapy GoogleMapy
Apple zahájil WWDC. Na keynote ukázal haldu novinek
Filip KůželMartin Miksa
Apple keynoteWWDC
Konec laciných cetek z AliExpressu: Jak budeme od letních prázdnin nakupovat ze zahraničí

Konec laciných cetek z AliExpressu: Jak budeme od letních prázdnin nakupovat ze zahraničí

** Od prázdnin skončí osvobození od DPH u laciných zásilek ** Postihne to AliExpress i další tržiště mimo EU ** Jak bude asi vypadat nakupování v praxi?

Jakub Čížek
DaněE-shopyAliExpress
Tři tipy, jak proklepnout signál Wi-Fi v domácnosti i kanceláři

Tři tipy, jak proklepnout signál Wi-Fi v domácnosti i kanceláři

** Poradíme, jak řešit problémy s rychlostí bezdrátového připojení ** Ukážeme, jak najít nejvhodnější Wi-Fi kanál ** Prozradíme, jak prověřit pokrytí prostoru signálem

Karel Kilián
RouterWi-FiTipy