Novinky v zabezpečení Windows XP Service Pack 2, 2. část

V dnešní době existuje vysoké riziko infiltrace ze sítě, do které je počítač připojen. Proto Windows XP SP2 přináší několik velkých změn právě v oblasti zabezpečení připojení k síti. Podobněji se na novinky podíváme v dnešní druhé části článku.

Související články

Novinky v zabezpečení Windows XP Service Pack 2, 1. část
Novinky v zabezpečení Windows XP Service Pack 2, 2. část
Novinky v zabezpečení Windows XP Service Pack 2, 3. část

Jak „zamknout“ síť

V oblasti ochrany sítě Microsoft udělal změnu převážně ve třech oblastech. První z nich je Windows Firewall, druhou zdokonalení modelu DCOM a třetí zdokonalení vzdáleného volání procedur (RPC).

Firewall pro všechny

Windows Firewall funguje jako „ochranná hráz“ proti útokům zevnitř i z venku. Jednodušší forma firewallu (dříve známá jako Internet Connection Firewall (ICF)) již existovala v předchozích verzích Windows.

Service Pack 2 tento bezpečnostní prvek posiluje ve výbavě a hlavně zde zavádí jednu zásadní změnu – firewall je ve výchozím stavu zapnutý. Je to opět změna zavedená zejména kvůli laické veřejnosti, která někdy ani netuší pravý význam slova firewall. Právě u ní by tento prvek mohl zamezit masivnějšímu útoku červů zneužívajících různé otevřené porty sítě.

Nabízený firewall, ačkoliv je v SP2 podstatně propracovanější, samozřejmě spektrem nabízených služeb neútočí na pozici komerčních řešení třetích stran a pravděpodobně se o to ani nesnaží. Jeho místo je poziciováno spíše do oblasti základní výbavy systému – stejně jako jsou bezpečnostní pásy v autě.

Přístup do nastavení firewallu je možný opět z Centra zabezpečení.

Klepněte pro větší obrázek Klepněte pro větší obrázek

Nastavení režimu spuštění firewallu * Definice vyjímek pro firewall

Dle dokumentace filtrování funguje pomocí zkoumání stavu paketů a informačního kontextu připojení. Celkově Windows Firewall užívá bezpečnostní politiku o třech základních pravidlech:

  • Jakýkoli paket, který odpovídá nastavení pravidel internetového provozu se předá dál.
  • Odeslaný paket, který neodpovídá nastavení pravidel internetového provozu zanechá nový záznam v tabulce internetového provozu a předá se dál.
  • Přijatý paket, který neodpovídá nastavení pravidel provozu je zahozen.

Tato tři pravidla ve výchozím nastavení umožňují běžnému uživateli normální přístup na internet a vybírání e-mailové pošty při současném zamezení toku nevyžádaných paketů.

V případě přítomnosti více síťových připojení je možné nastavit, která rozhraní bude nebo nebude chránit. Samozřejmě v běžném životě to není natolik jednoduché, a proto je možné nadefinovat výjimky pro daná pravidla a to buď ve formě pravidla pro konkrétní aplikaci nebo pravidla pro konkrétní síťový port.

Klepněte pro větší obrázek Klepněte pro větší obrázek

Upřesnění nastavení a cílení firewallu * Povolení komunikace konkrétní aplikace

Klepněte pro větší obrázek Klepněte pro větší obrázek

Změna oboru konkrétního pravidla * Otevření TCP/UDP portu

Klepněte pro větší obrázek

Úprava konfigurace služby

Nastavení firewallu a výjimek si nastavuje sám uživatel nebo správce domény podle pravidel zásad skupin. Zásady skupin, pokud existují, mají vždy přednost. Pokud jsou tyto zásady skupin aplikovány, bude okno firewallu vyšedlé.

V rámci konfigurace se dají nastavit jednotlivé povolné aplikace, povolit nové porty a nastavit, jak bude počítač reagovat na zprávy ICMP („ping“).

Klepněte pro větší obrázek Klepněte pro větší obrázek

Povolení komunikace pro konkrétní službu * Konfigurace ICMP

Výjimky, nadefinované v rámci firewallu mohou mít buď globální nebo lokální charakter. Globální v tomto případě znamená, že port, program či službu může použít kdokoli, kdekoli, dokonce v internetovém prostředí. Lokální se pak omezuje na možnost použití portu, programu či služby v rámci lokální podsítě – vlastní sítě LAN daného počítače.

Model DCOM (Distributed Component Object Model)

Windows XP SP2 slibuje lepší nastavitelnost protokolu DCOM omezující aktivaci, spouštění a výsady volání protokolu DCOM a současně rozlišující mezi lokálními a vzdálenými klienty.

Každému je automaticky povoleno lokální spuštění, lokální aktivace a lokální povolení volání, které by mělo umožnit bezproblémovou lokální práci. Při síťové práci však nezískají povolení ke vzdálenému volání anonymní klienti. Automatické povolení vzdálené aktivace a spouštění aplikací dostávají pouze správci.

Vedle rozsáhlého systémového bezpečnostního nastavení DCOM mají jednotlivé COM servery možnost nastavit omezení práv uživatelů.

Existují čtyři nové povolovací úrovně pro spouštění COM serverů:

  • místní spuštění
  • vzdálené spuštění
  • lokální aktivace
  • vzdálená aktivace

Pro přístup ke COM serveru byly zavedeny dvě nové povolovací úrovně: místní volání a vzdálená volání.

Více informací o nových bezpečnostních úrovních DCOM získají správci a vývojáři zde přímo v materiálech Microsoftu.

Vzdálené volání procedur (Remote Procedure Call)

Vzdálené volání procedur (Remote Procedure Call) je prostředek odesílání zpráv umožňující aplikaci jednoho počítače volat služby dostupné na různých počítačích v rámci sítě. RPC se běžně používá pro vzdálenou správu počítačových sítí nebo ke sdílení dokumentů a tiskáren. Běžně nainstalované systémy XP obsahují více než 60 služeb na bázi RPC. Ty zaznamenávají klientské požadavky na síti, většinou v rámci procesů SVCHOST.exe.

V předchozích verzích operačního systému Windows XP bylo RPC prakticky nepoužitelné v kombinaci s ICF (předchůdce Windows Firewallu v SP2). ICF totiž blokoval veškerá volání RPC zvenčí, což narušovalo funkci sdílení dokumentů a tisku, vzdálenou správu a funkci několika dalších služeb.

Windows Firewall ve Windows XP SP2 by měl tento přístup (pro který řada uživatelů předchozí verzi ICF nepoužívala) změnit – jakmile se proces pokusí otevřít port s příznakem služby RPC, dojde k přijmutí požadavku za situace, kdy bude volající používat lokální systém, síťovou službu nebo bude podléhat bezpečnostním pravidlům lokální služby. Jinými slovy, pouze tehdy, kdy bude proces představovat skutečnou službu. Tímto se snižuje nebezpečí, že si port neoprávněně otevře program jako je trojský kůň, který se bude vydávat za RPC server.

Související v Databázi znalostí:

Firewall ve Windows XP
Firewall hlásí blokaci
Velikost packetu

Co nás čeká příště?

V příštím – třetím – díle se podíváme, jaké nové prvky přinese Windows XP SP2 v oblasti zabezpečení paměti, spouštění aplikací a v dalších produktech, jako je Internet Explorer či Outlook Express.

Diskuze (10) Další článek: Mozilla 1.7.2 Firefox 0.9.3 Thunderbird 0.7.3 jsou k dispozici v češtině

Témata článku: Windows, Internet, Internet Explorer, Windows XP, Výchozí stav, Window, Ping, Service pack, Lokální systém, Internetový provoz, Bezpečnostní prvek, Anonymní síť, Třetí úroveň, Lokální charakter, Síťový provoz, Zabezpečení, Port, Bezpečnostní pás, Firewall, Pingu, DCO, Lokální síť, Nové pravidlo, Aktivace, Service


Určitě si přečtěte

Podívejte se, jak vypadá mikrofon nebo blecha pod elektronovým mikroskopem

Podívejte se, jak vypadá mikrofon nebo blecha pod elektronovým mikroskopem

** Z Brna pochází třetina světové produkce elektronových mikroskopů ** První československý kus vyrobila Tesla už v 50. letech ** Dnes na ni navazuje třeba brněnský Tescan

Jakub Čížek | 19

Jak doma vylepšit signál Wi-Fi: Pomůže repeater, více routerů, ale nejlépe systémy mesh

Jak doma vylepšit signál Wi-Fi: Pomůže repeater, více routerů, ale nejlépe systémy mesh

** Máte špatný signál Wi-Fi? Mesh systémy to vyřeší ** Už vás nezruinují, meziročně ceny příjemně spadly ** Jak systém funguje a čím je výjimečný?

Jiří Kuruc | 108

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 6

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

Pojďme programovat elektroniku: Rádiový čip, který má skoro každá bezdrátová myš

** Bezdrátové myši řídí čip od Nordic Semiconductors ** Jeho rádiové vysílače si před lety oblíbila i komunita kutilů ** Dnes si je vyzkoušíme v praxi

Jakub Čížek | 9


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky