div.main {margin-left: 20pt; margin-right: 20pt}
Как влияет Service Pack 5 на работу средств
удаленного доступа
|
| ШОН ДЕЙЛИ Шон Дейли — один из редакторов
журнала Windows NT Magazine и президент компании iNTellinet
Solutions, занимающейся консалтингом и сетевой интеграцией.
Имеет звание MCSE. Последней из его книг была «Optimizing
Windows NT», выпущенная издательством IDG Books. С ним можно
связаться по адресу электронной почте: sean@ntsol.com. |
Предполагается, что Microsoft тестирует дополнения и изменения
прежде, чем выпустить очередной Service Pack, и что новые пакеты
исправлений должны улучшать работу программного обеспечения. Если же
подходить с этими критериями к Service Pack 5 (SP5), возникает
желание назвать его «саботажным пакетом 5». Уже очевидно, что он
негативно влияет на работу средств удаленного доступа — RAS, RRAS и
DUN — настолько, насколько это вообще возможно.
Давайте кратко перечислим проблемы, связанные с удаленным
доступом, которые могли бы сподвигнуть пользователей на установку
новоиспеченного пакета. Вот список основных ошибок SP4, которые
разработчики обещали устранить в SP5.
Если соединение DUN запускается с помощью ярлыка, пользователя
ждет визит д-ра Ватсона.
При работе приложений с интерфейсом RasDial происходит утечка
дескрипторов — дескрипторы маркеров процессов открываются, но
никогда не закрываются.
Запуск диспетчера удаленных соединений rasman.exe из командной
строки с длинным списком параметров приводит к сообщению о
нарушении прав доступа.
Автоматическая установка службы маршрутизации и удаленного
доступа Routing and Remote Access Service (RRAS) не работает.
Попытка создать новое соединение в административной программе
RRAS заканчивается сообщением о нарушении прав доступа.
На медленных каналах связи соединения RRAS прерываются из-за
истечения тайм-аута.
RRAS перестает отвечать на звонки при большой нагрузке и
отказывается работать, если установить количество гудков равным
0.
Глядя на этот довольно-таки устрашающий список ошибок, любой
администратор NT должен был бы ухватиться за SP5 обеими руками.
Действительно, вряд ли новый пакет исправлений способен ухудшить
положение — куда уж хуже? К сожалению, это не так. Ниже я вкратце
перечислю наиболее известные ошибки SP5, связанные с удаленным
доступом (опубликованные Microsoft исправления к SP5 можно найти по
адресу: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp5).
Защита и неверные записи телефонной книги. Когда в телефонную
книгу умышенно заносят некорректные записи, буфер может
переполниться, что ослабляет защиту удаленных соединений. В
частности, эта ошибка позволяет злоумышленнику запускать
приложения, присваивать себе необходимые привилегии и атаковать
клиента RAS по широко известной схеме «отказ в обслуживании»
(Denial of Service, DoS). Эта ошибка исправляется специальной
«заплаткой» RAS-fix, которая описана в статье «Malformed Phonebook
Entry Security Vulnerability in RAS Client» (http://support.microsoft.com/support/kb/articles/q230/6/77.asp).
Проблемы с кэшированием паролей соединений удаленного доступа.
Когда пользователь подключается к удаленной системе, появляется
диалоговое окно, в котором имеется флажок «Сохранить пароль»; если
он установлен, система кэширует пароль подключения. Однако после
установки SP5 эта функция начинает работать иначе — независимо от
состояния флажка «Сохранить пароль» RAS кэширует пароль в
системном реестре. В результате пароль пользователя может
оказаться в чужих руках со всеми вытекающими отсюда последствиями.
Специалисты Microsoft прокомментировали этот вопрос в статье «DUN
Credentials Cached When Save Password Not Selected with RAS» (http://support.microsoft.com/support/kb/articles/q230/6/81.asp);
ее устраняет исправление RASPassworddialer-fix.
Проблемы с кэшированием паролей соединений RRAS. Эта ошибка
идентична предыдущей, но относится к соединениям RRAS. Она описана
в статье «DUN Credentials Cached When Save Password Not Selected
with RRAS» (http://support.microsoft.com/support/kb/articles/q233/3/03.asp);
исправление RRASPassword-fix можно загрузить с узла Microsoft.
Итак, я перечислил только основные обнаруженные пользователями
ошибки. После выпуска SP5 новые проблемы и соответствующие
«заплатки» от Microsoft обнаруживаются почти ежедневно. Тем, кто
собирается установить SP5 или любую «заплатку» к нему, очень
рекомендую сначала протестировать их в непроизводственной среде.
Здесь уместно напомнить оговорку Microsoft относительно
«заплаток»: «Опубликовано официальное исправление, устраняющее эту
ошибку, однако оно не прошло исчерпывающего тестирования и
рекомендуется к применению только на системах, где обнаружена
данная проблема».
Сейчас уже доступен Service Pack 6. Однако не следует ожидать от
него слишком много — на сайте Microsoft были опубликованы
исправления к еще не вышедшему пакету, чтобы залатать «дыру» в
системе защиты RAS! Судя по опыту работы с SP4 и SP5, мне придется
собственноручно заняться «исчерпывающим тестированием», прежде чем
устанавливать SP6 на любом из своих серверов.
|
