Živý rozhovor: o bezpečnosti Microsoft Windows

Nezávislý konzultant a školitel Miroslav Knotek je držitelem certifikaci MCSE a MCT s dlouholetou praxí a rozsáhlými zkušenostmi. Také je zakladatelem projektu Exchange4U pro poskytování Exchange formou ASP. Pozvali jsme jej k živému rozhovoru se čtenáři Živě.cz.

V tomto článku najdete všechny otázky a odpovědi. Některé dotazy jsme kvůli přehlednosti zkrátili, jiné rozdělili do více částí. Některé otázky se opakovaly a v takových případech byly zpravidla zodpovězeny jen jednou. Originální verzi rozhovoru najdete na této stránce.

Odpovědi na otázky čtenářů Živě.cz

Lze nastavit, aby se Outlook přihlašoval při přijímání a odesílání pošty přes Exchange certifikátem uloženým na čipové kartě. Mám nějakou naději, že to bude někdy fungovat? (Adam Kyselý)

Miroslav Knotek: Bohužel aktuální verze Outlook 2003/Exchange 2003 nepodporuje tento typ přihlášení. Souhlasím, že je to škoda a věřím, že v dalších verzích se tato možnost určitě objeví.

Proč se updaty vydávají pouze jednou měsíčně a ne v okamžiku, kdy jsou potřeba? (Fanda)

Miroslav Knotek: Microsoft zavedl pro větší transparentnost celého procesu tzv. „Patch Tuesday“. Je to každé druhé úterý v měsíci, kdy jsou hromadně vydávány veškeré aktualizace. Pokud se ale objeví velmi závažná bezpečnostní chyba, aktualizace může být vydána i mimo tento termín.

Můžete vysvětlit, proč záplaty na odhalené a zveřejněné bezpečnostní chyby Windows jsou dostupné zpravidla za déle než čtrnáct dní (pokud vůbec) a oprava/změna ochrany DRM při jejím nedávném prolomení trvala pouze tři dny? (Pavel Hanák)

Miroslav Knotek: Proč jsou záplaty vydávány jednou měsíčně již bylo vysvětleno v předcházející odpovědi. S tím, že některé záplaty řešící závažné bezpečnostní problémy by měly být vydány dříve, mi ale nezbývá než souhlasit.

Jak zlegalizovat MS Office 2000 a kolik stojí poplatek? Prý na kopii MS Office 2000 nelze stáhnout bezpečnostní záplaty. Je to pravda ? (Aleš)

Miroslav Knotek: Přiznám se, že moje znalosti v oblasti licencování nejsou příliš hluboké, ale myslím, že nejlepší by bylo koupit MS Office 2003 a zažádat o tzv. downgrade (možnost používat předchozí verzi software). Multilicenční programy pro firmy tento downgrade obsahují většinou automaticky.

Aktualizace je možné stále ještě stahovat i pro MS Office 2000.Technická podpora ve fázi prodloužené odborné pomoci bude trvat až do 14. 7. 2009. Nicméně aktualizace fungují pouze přes Office Update, nové záplatovací služby jako Microsoft Update nebo WSUS s podporou Office 2000 nepočítají.

Uvažuje Microsoft o jiném souborovém systému, rychlejším než je NTFS? (Tomáš)

Miroslav Knotek: Uvažuje se o souborovém systému WinFS, který by pracoval na principu relační databáze. Bohužel jeho nasazení v rámci blížících se Windows Vista bylo pozastaveno a uvažuje se až o začlenění do „product update“ pro Windows Vista ve vzdálenější budoucnosti.

Pokud stahuji SP2 a nové další aktualizace, znamená to, že ty staré se v systému vyruší, přepíší či smažou, nebo zůstávají jako kopie v systému? Mohu staré aktualizace smazat, aby nezabíraly místo na disku ? (Aleš)

Miroslav Knotek: Aktualizace vždy nahrazuje starší systémové soubory těmi novějšími. Zároveň se ale do adresářů typu %windir%\$NtUninstallKB123456$ odkládají původní soubory, aby bylo možné případně aktualizaci odinstalovat a vrátit se k předchozímu stavu.

Jaké informace se odesílají Microsoftu, když stahuji záplaty? A proč MS zavedl ověřování pravosti Windows? (Karel Kryl)

Miroslav Knotek: Do Microsoftu se odesílají jen informace o tom, zda se aktualizace úspěšně nainstalovala. Vše je anonymní a žádné osobní údaje nejsou zjišťovány. Ověření pravosti Windows je cesta k omezení nelegálního využívání produktů Microsoftu. Nelegální uživatelé stále mohou zapnutím služby „automatické aktualizace“ stahovat záplaty pro závažné bezpečnostní chyby, i když např. Microsoft Update jejich připojení odmítne.

Zajímalo by mě, jestli je ochrana Wi-Fi pomocí WEP pro domácí použití dostatečná. Nebo se mám bát, že sousedi budou využívat moje připojení? (Petr)

Miroslav Knotek: Ochrana pomocí WEP bohužel není dostatečná. Pomocí nástrojů jako je např. WEPCrack může váš soused prolomit v relativně krátkém čase šifrovací klíč a připojení zneužívat.

Je možno sehnat instalační CD Windows se všemi záplatami? Po instalaci systému zabere instalace jednotlivých aktualizací příliš času. (Tomáš)

Miroslav Knotek: Takové CD si dokonce každý může vyrobit a aktualizovat sám dle svých potřeb. Každá aktualizace (včetně service packů) se dá integrovat do instalačních souborů. Chcete-li například do instalačního adresáře v cestě D:\Install integrovat aktualizaci KB123456.exe, zadejte následující příkaz: KB123456 /integrate:D:\install.

Existuje pro zájemce nějaká dostupná literatura vysvětlující podrobně všechny funkce a nastavení registru ve Windows XP? Rád bych o registrech věděl více. (Honza N.)

Miroslav Knotek: Velice dobrý popis registrů existuje v rámci Microsoft Windows XP Professional Resource Kitu.

Proč jsou Windows čím novější, tím více grafické? Ve starých Windows se dalo lépe orientovat a tento názor zastávám nejen já. (Martin)

Miroslav Knotek: I já jsem od přírody konzervativnější a Windows XP přepínám zásadně do vzhledu Windows 2000, ale to je prostě jen náš subjektivní názor. Řadě lidí naopak tento trend „barevnějších ikonek“ vyhovuje.

Jaké porty musí být otevřené na NAT/firewallu, aby bylo možno provést VPN spojení via Microsoft PPTP?

Miroslav Knotek: Pro VPN via PPTP je třeba povolit port tcp/1723 a GRE (Generic Routing Encapsulation), což je IP protocol číslo 47.

Kdy bude k dispozici česká verze Internet Exploreru 7? Chci už u IE7 zůstat, neboť má řadu bezpečnostních prvků a dobře se mi s touto verzí pracuje. (Honza N.)

Miroslav Knotek: Přesné datum bohužel neznám. Pravděpodobně se to bude blížit datu vydání Windows Vista CZ. V současné době je aktuální verze IE7 ENG RC1 (release candidate 1). I mně osobně se IE7 moc líbí. Konečně záložky!

Dejme tomu, že na tři roky odpojím PC ze sítě a podniknu cestu kolem světa. Za tři roky se vrátím a Microsoft mezi tím vydá dejme tomu sto záplat. Co se stane, když se po třech letech napojím on-line? Budu muset stáhnout najednou těch teoretických sto záplat? (Richard N.)

Miroslav Knotek: Některé záplaty zneplatňují ty předchozí, takže jich bude určitě méně než sto.

Vynášejí konzultace a školení o zabezpečení nezabezpečitelného softwaru dost? (Eduard Mahler)

Miroslav Knotek: Jde to. :-)

Zajímalo by mne, jakým způsobem zcela vypnout listening na portech služby Netbios. Blokování firewallem neberu jako zakázaný listening na uvedených portech. (Filip Novák)

Miroslav Knotek: V nastavení síťové karty je možné vypnout „NetBios over TCP/IP“. Tímto zakážete naslouchání na portech TCP/445 a UDP/445.

Mám XP SP1, NOD32 a Kerio 4.2. Je zapotřebí mít Service Pack 2 k připojení na Internet? (Láďa Hanuš)

Miroslav Knotek: Service Pack 2 pro Windows XP dramaticky zvyšuje bezpečnost tohoto operačního systému, proto jeho instalaci jednoznačně doporučuji.

Myšlenka Exchange4U jako ASP se mi velmi líbí. Podporujete též synchronizaci s mobilními zařízeními typu smartphone. Je tato forma přístupu k e-mailu bezpečná? (Martin Klíma)

Miroslav Knotek: Microsoft Exchange 2003 obecně podporuje synchronizaci pošty, kontaktů, úkolů i kalendáře se smartphony, které podporují technologii ActiveSync. Komunikace může být šifrována pomocí SSL a tudíž dostatečně zabezpečená. Mimochodem, jsem samozřejmě moc rád, že se vám náš projekt líbí.

Jak je nejlépe možné zabezpečit Windows Server 2003 aby nepadl po dvou týdnech provozu? (Tommy)

Miroslav Knotek: Service Pack 1 pro Windows Server 2003 obsahuje nástroj SCW (Security Configuration Wizard), který vám navrhne zabezpečení podle toho, v jaké roli server využíváte.