Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Андрей Матвеев
В последнее время компания Microsoft стала проявлять как-то больше активности в области выпуска обновлений для Windows NT. Оно и понятно, ведь по сообщениям представителей компании, она собиралась по просьбам заказчиков сделать выпуск обновлений более частым. Сейчас мы можем наблюдать результаты этой активности, то есть выход двух Service Pack и множества поправок (hotfixes). Естественно, значительно уменьшилось количество ошибок, но появилось и много новых особенностей, в которых нужно разбираться, чтобы все функции работали, как и прежде.
Мнения специалистов разделяются: одни приветствуют выход обновлений как можно чаще, и хотят, чтобы заплатки к обнаруженным ошибкам появлялись как можно быстрее, другие же, наоборот, относятся к сторонникам консервативного обновления. Истина, как всегда, посередине, и политика Microsoft в этом плане четко прослеживается. Критические заплатки, с точки зрения безопасности, выпускаются как можно быстрее, а вот простые ошибки стоит проанализировать подольше, чтобы их исправлением не навредить системе. Хотя сразу вспоминается случай, произошедший в июне 1999 года. Компания eEye, специализирующаяся на безопасности компьютерных систем, тестируя свой продукт, обнаружила серьезную ошибку в Internet Information Server 4.0, который по независимым оценкам используется уже на 22% Web-серверов в Интернет. Вот в чем заключалась эта ошибка. Как известно, для того, чтобы скачать определенную страницу, браузер в рамках протокола HTTP шлет запрос вида ╚GET /document.htm HTTP/1.0╩. Как выяснилось, если послать запрос вида ╚GET /[3Kb знаков].htr HTTP/1.0╩, то есть запросить файл с очень длинным, несуществующим именем, сервер будет аварийно остановлен. Так как мы запрашиваем .HTR документ, то запрос будет обрабатываться ISAPI-фильтром ISM.DLL, где не предусмотрен контроль буфера на переполнение, из-за чего и происходит аварийная остановка сервера. Кроме того, как потом обнаружили сотрудники eEye, с помощью этой ошибки можно не только остановить сервер, но и захватить управление им и в некоторых случаях даже управление локальной сетью, к которой он подключен. Впервые эта ошибка была обнаружена и идентифицирована в компании eEye 6 июня. Уже 8 июня компания передала информацию и анализ ошибки в Microsoft. Несмотря на важность проблемы, Microsoft перестала отвечать на письма от eEye. Пребывая в полной уверенности, что реакции от Microsoft уже не последует, eEye публикует 15 июня программу для взлома, основанную на этой ошибке. По странному стечению обстоятельств в тот же день вечером Microsoft публикует сведения по устранению проблемы для администраторов, заключающиеся в отключении .HTR расширений, что влечет за собой некоторую потерю функциональности, которая для многих очень актуальна.
Далее eEye выпустила свое решение по устранению данной ошибки без потери функциональности и не без лукавства заметила, что в ISM.DLL существуют еще ошибки, связанные с переполнением буфера. Представители Microsoft в своих комментариях косвенно осудили действия eEye и сообщили, что ведутся работы над решением этой проблемы. Только 29 июня в обыденном ритме Microsoft выпустила поправку для устранения этой грубой ошибки. Все-таки любому администратору хочется, чтобы он мог исправить ошибки, фатальные с точки зрения безопасности, и приятно это делать, не теряя функциональности продукта.
Каждый администратор в своей работе так или иначе сталкивается с обновлением системы и даже, если он консервативен, рано или поздно ему все равно придется разбираться со всеми обновлениями, дабы не навредить безопасности и обеспечить соответствие системы 2000 году. Давайте разберемся во всех обновлениях и выберем необходимые, принимая тем самым оптимальное и осмысленное решение.
Service Pack 4
Service pack 4 вышел 19 октября 1998 года и поставлялся в двух вариантах: стандартный (размер архива 32 МБ, размер распакованных файлов 98 МБ) и полный (размер архива 76 МБ, размер распакованных файлов 145 МБ). Полный вариант включает также готовые к 2000 году Internet Explorer 4.01, Data Access Components 2.0 и Microsoft Site Server Express 3.0 upgrade. Позже Microsoft по некоторым причинам приняла решение отозвать полный вариант и рекомендовала устанавливать обновления по отдельности, так что встретить полный вариант вы сможете теперь только на CD-ROM. Service Pack 4 рекомендуется Microsoft как обязательное обновление. Он доступен по адресу http://download.microsoft.com/msdownload/sp4/x86/en/Sp4i386.exe или на CD-ROM. Русскую версию можно найти на http://mskyus.www.conxion.com/msdownload/sp4/x86/ru/Sp4i386.exe
Это обновление содержит новые возможности, подготавливает систему к 2000 году и исправляет более 600 ошибок. Среди новых возможностей примечательны следующие. Появился новый протокол Tunneling TCP, позволяющий осуществлять клиент-серверные соединения DCOM через порт протокола HTTP, чтобы пройти через брандмауэры (firewall). Протокол использует открытые порты брандмауэров, а также сочетает в себе высокую производительность и возможность контроля доступа клиентов. Все понимают, что в наше время трудно обойтись без брандмауэра и при этом обеспечить безопасность сети, поэтому, несомненно, этот протокол пригодится всем тем, кто использует глобальные сети в виде недорогого транспортного канала. Существует еще одна новая возможность, которая может пригодиться пользователям брандмауэров. Порт 53 (DNS) может быть закрыт ими, и ответные пакеты не будут получены, но теперь вы можете настроить DNS сервер на новый порт с помощью ключа в реестре HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\DNS\ Parameters\SendOnNonDnsPort установкой значения вроде DWORD. Если оно не равно нулю, сервер не будет использовать 53 порт и перейдет на другой, а если значение больше 1024 ≈ он будет использовать указанный порт.
Обновление шрифтов Arial, Courier New, Times New Roman и драйвера клавиатуры для поддержки символа евровалюты кому-то помогут при использовании этого знака. Появилась вторая версия протокола IGMP, который увеличит производительность ваших маршрутизаторов благодаря возможности оповещать маршрутизатор о выходе компьютера из группы. Организации, использующие FPNW, теперь могут использовать NetWare Client32 для соединения с сервером Windows NT, работающим в режиме сервера Novell Netware 3.x. Это позволит не изменять программное обеспечение на клиентских компьютерах, и становится особенно актуальным для тех, кто переходит с серверов Novell Netware. Проконтролировать размер профиля пользователя вы теперь сможете, применяя новую утилиту Proquota. Она действует следующим образом: если размер профиля пользователя превысит допустимый, он не сможет выйти из системы, пока не уменьшит размер файла профиля. Скромно, но все же некоторая функциональность в этом есть. Программистам пригодятся улучшения в RPC для Visual Basic. Очень удобен новый инструмент Security Configuration Manager, позволяющий администраторам проверить параметры защиты любого сервера или рабочей станции и оценить безопасность системы. Он доступен на CD-ROM или по адресу ftp.microsoft.com/bussys/winnt/winnt-public/tools/scm/scesp4i.exe
На смену ActiveMovie и NetShow Player пришел Windows MediaPlayer, который не только объединяет в себе все их функции, но включает также многие новые возможности. Он доступен только на CD-ROM. Появилось несколько новых событий, записываемых в системный протокол, связанных с корректным или некорректным завершением работы системы и информацией о версии операционной системы. Исправления для подготовки системы к 2000 году коснулись следующих ключевых компонентов: User Manager и User Manager for Domains, Date/Time Control Panel, Find Files, DHCP протокол. В службе WINS теперь можно удалять динамические записи базы данных вручную и осуществлять операции множественного выбора записей. Обновлению подвергся протокол DHCP с целью повышения производительности и исправления ошибок. Для многих, использующих корпоративные сети, актуальна новость об увеличении производительности и безопасности протокола PPTP.
Также устранены известные ошибки DNS сервера, которые очень многих беспокоили. Необходимо обратить внимание на то, что стала актуальной привилегия Manage Security Log для работы с протоколом безопасности. Новая версия TAPI 2.1 удешевила и упростила развертывание клиент-серверных приложений, использующих этот API. Обновленный драйвер ntfs.sys позволяет получить доступ к разделам NTFS 5, созданным Windows 2000 (ранее Windows NT 5.0), так что теперь вы легко можете тестировать Windows 2000 и иметь на компьютере обе операционные системы. Замечу, что Service Pack 4 не поддерживает кодирование файлов с помощью EPS, квотирование дискового пространства и NSS файлы ≈ все эти возможности доступны только в Windows 2000. Раз уж зашел разговор о Windows 2000, необходимо напомнить, что Windows 2000 Release Candidate 1 уже вышел, Release Candidate 2 анонсируется к выходу в сентябре-октябре, а выход окончательной версии Windows 2000 планируется в конце 1999 года. Хотя уже существует Y2K поправка для Service Pack 3, по некоторым заявлениям, Microsoft полностью подготавливает систему к 2000 году только Service Pack 4. Следовательно, недопустимо применение Service Pack 3 + Y2K поправка на любом из серверов, хотя это, в крайнем случае, подойдет для рабочих станций.
Поправки для Service Pack 4
Все поправки доступны на ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP4
Просто необходимо установить Y2KUPD для обновления ошибок в mfc40.dll, связанных с 2000 годом. Для систем со старым BIOS, которые автоматически не обновляют байт столетия при перезагрузке, потребуется установить Bios2-fix. Те, кто использует Microsoft Message Queue Server, не забудьте установить MSMQ-fix для правильной работы его панели управления 29 февраля любого високосного года.
Поправка Roll-up содержит в себе пакет из 7 исправлений. Вот особенно важные из них: возможность просмотреть содержимое буфера обмена пользователя при заблокированной консоли путем нажатия CTRL+V (Gina-fix), некорректный GET-запрос мог приводить к прекращению работы или ошибке IIS (Infget-fix), после изменения пароля с использованием клиента для DOS или Windows for Workgroups, можно было войти под пустым паролем (Msv1-fix), на многопроцессорных компьютерах неправильно инициализировался драйвер tcpip.sys, что могло приводить систему к синему экрану (Tcpip-fix). В любом случае эта комплексная поправка рекомендуется как базовая, потому что исправляет очень важные ошибки.
Если вы опасаетесь, что запускаемые файлы с некорректно сформированным заголовком приведут систему к синему экрану, установите Kernel-fix и спокойно запускайте незнакомые приложения.
Возможность запуска на компьютере DLL с названием, схожим с файлами из ядра Windows NT, может быть использована для получения прав администратора, если у злоумышленника имеется локальный доступ к компьютеру. Чтобы убрать такую возможность, примените Smss-fix.
Чтобы исключить подмену экранной заставки с целью получения прав администратора, установите ScrnSav-fix, что не позволит подменяемой программе повысить права вошедшего пользователя до прав администратора.
Если вы используете RRAS сервер, не забудьте применить Disc-fix, который избавит вас от отказа реагировать на внешние вызовы из-за недостаточного буфера.
Рекомендуется также Rnr-fix, чтобы решить все проблемы с GetHostByName и позволить приложениям, использующим этот вызов API, правильно работать.
Проблемы, возникающие после установки Service Pack 4.
После выхода Service Pack 4 обнаружилось немало проблем, что естественно, так как крупные обновления не выходили до этого момента очень долго.
Сразу хочется предупредить всех тех, кто использует Windows NT для издательской деятельности. Обнаружена следующая проблема в совместимости Service Pack 4 с Adobe Type Manager 4.0. Если вы используете русскую региональную установку, то ATM 4.0 и любой PostScript драйвер будет генерировать ошибочные PS-файлы, и из-за этого шрифты Type 1 будут загружены в печатающее устройство как Type 3. Так что ни в коем случае не устанавливайте Service Pack 4 на компьютеры, использующиеся для издательской деятельности. После долгих разбирательств фирма Adobe пообещала исправить эту ошибку в ATM 4.1. Примечательно, что это справедливо и для Windows 2000.
Не работают команды вида net use m: /d, из-за ошибки в rdr.sys, что актуально для тех, кто использует сценарии входа. При посылке на печать из UNIX систем на Windows NT LPD сервер не печатает более одной копии. Для исправления рекомендуется использовать ключи -# и -K вместо -f. Если некоторые приложения заканчиваются с ошибкой Dr. Watson, то, возможно, это происходит из-за нового механизма управления памятью. Вы можете отключить это нововведение для определенных приложений, проделав следующие изменения в реестре. Найдите ключ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image\File Execution Options и создайте в нем новое значение с именем исполняемого файла, который должен использовать старый механизм управления памятью. Затем добавьте ключ типа REG_SZ с именем DisableHeapLookaside и значением 1. Вы можете столкнуться с ситуацией, когда сервисы независимых поставщиков не запускаются. Вся проблема состоит том, что Service Pack 4 изменяет порядок запуска сервисов, и сервис может запускаться до того, как запустился другой сервис, от которого он зависит.
Решение данной проблемы заключается в добавлении в ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ значения DependOnService типа REG_MULTI_SZ. Значением этого ключа нужно сделать имя сервиса, от которого зависит сервис независимого поставщика. Если кто-то использует ╚спящий╩ режим винчестера, например в переносном компьютере, то двигатель винчестера все равно включается каждые пять минут из-за того, что системе нужно обновить временные метки, служащие для определения некорректного завершения системы. Отключить обновление этих меток и тем самым обеспечить ╚спящий╩ режим винчестеру можно, добавив ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability со значением TimeStampInterval типа REG_DWORD равным 0 и перезагрузив компьютер. Хочется заметить, обязательно проконтролируйте обновление файла winprint.dll и при необходимости обновите его вручную, потому что в некоторых случаях он не обновляется автоматически. То же самое проделайте с файлами Microsoft Transaction Server, если они используются. Кроме того, перед установкой Service Pack 4 рекомендуется убрать все предыдущие поправки или потом вручную удалить ссылки на них и содержимое их uninstall-каталогов.
Service Pack 5
Прошло около полугода, и 5 мая 1999 года вышел Service Pack 5. Его размер составляет 35 МБ и 106 МБ в распакованном виде. Он не является обязательным обновлением и доступен по адресу http://download.microsoft.com/msdownload/sp5/x86/en/Sp5i386.exe или на CD-ROM. Русскую версию можно найти на http://download.microsoft.com/download/winntsp/sp/5/nt4/ru/sp5i386.exe
Этот пакет обновления по сравнению с Service Pack 4 не содержит новых возможностей, но зато исправляет около 250 ошибок, больше 12 из которых возникли в результате появления Service Pack 4.
Все, что было исправлено в поправках для Service Pack 4, а там немало важных и критичных мест с точки зрения безопасности и уязвимости системы, включено также и в Service Pack 5.
Хорошо, что исправлена старая ошибка, замеченная профессионалами, когда система не могла загрузиться из раздела, начинающегося выше 4 ГБ, ведь это становится все более актуальным, так как объемы дисков увеличиваются с космической скоростью. Рабочие станции и принт-серверы могли подвергаться остановке, если во время печати большого файла активизировалась экранная заставка.
Некоторые пользователи вместо встроенной предпочитают другие оболочки. При этом в случае запуска Windows NT Explorer Dr. Watson мог выдавать ошибки.
Администраторов крупных сетей с большим количеством глобальных групп больше не побеспокоит ошибка в User Manager for Domains, которая приводила к нарушению доступа.
Поправки для Service Pack 5
Все поправки доступны на ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP5
Обнаружена одна серьезная уязвимость, которая проявляется благодаря переполнению буфера RAS из-за неправильной записи в телефонной книге. Так как RAS клиент запускается от имени системы, атакующая программа может получить аналогичные права. Чтобы оградить систему от такой возможности, установите RAS-fix.
Такая же уязвимость системы безопасности возникает при использовании специально сформированного файла помощи, и все это происходит опять же из-за переполнения буфера. Поэтому любой пользователь, имеющий права чтения и записи в каталог %SystemRoot%\Help, что является установкой по умолчанию, может воспользоваться такой шибкой. Кроме того, из-за этого легко можно сделать программу помощи неработоспособной. Все это устраняется с помощью winhlp32-fix.
Тем, кто остановился на Service Pack 4, но для кого очень важна безопасность системы, рекомендуется установить две вышеперечисленных поправки на Service Pack 4.
Следующие поправки позволят вам оградить свой сервер от блокировок, зависаний и остановок.
Csrss-fix не позволяет серверу зависнуть, если появилось больше 16 процессов, ожидающих ввода от пользователя. Благодаря IOCTL-fix у вашего компьютера не будут заблокированы клавиатура и мышь, в случае злонамеренных действий программ, использующих незащищенные привилегиями IOCTL функции. Специально сформированный запрос к локальному администратору безопасности (LSA) мог приводить к зависанию сервера, что исправляется с помощью LAS3-fix. Замечу, что эта ошибка не позволяет получить доступ или изменить информацию о привилегиях пользователей. Возникающие потери памяти и зависания сервера при обращении к несуществующим счетчикам Perfomance Monitor, исправляет Perfctrs-fix.
Для систем со старым BIOS потребуется установить Bios2-fix, чтобы обеспечить совместимость с 2000 годом.
Использующие Phone Dialer могут обновить его с помощью Dialer-fix и не беспокоиться об ошибке нарушения доступа при определенных обстоятельствах.
Исправить ошибку при DDE-связи с сервером можно, применив NetDDE-fix.
Если вы используете Microsoft Exchange или Outlook совместно с Microsoft Exchange Server, установите Rpcltscm-fix. Он избавляет клиентов от зависаний.
Больше всего ошеломляет ошибка, связанная с безопасностью, которая уже много лет существовала в Windows NT, а исправлена она только сейчас. Как вы знаете, в окне удаленного доступа наряду с именем пользователя и паролем существует флажок Save Password, позволяющий не сохранять пароль. Так вот, все это время пароль все равно сохранялся, даже если флажок не был установлен, и поэтому различные троянские программы могли найти и использовать его. Теперь это наконец-то исправлено в RASPassword-fix и RRASPassword-fix, которые предназначены для RAS и RRAS сервера соответственно. Замечу, что такая же ошибка существует и в Windows 95.
Совсем недавно обнаружилась ошибка в ntfs.sys. При создании или удалении файлов на разделе с количеством файлов более 4 миллионов, происходит сбой файловой системы ≈ удаленные файлы продолжают отображаться и нельзя получить доступ к другим файлам. А все это из-за переполнения таблицы MFT, в которой каждый файл имеет о себе запись. При данных обстоятельствах она становится размером более 4 ГБ, из-за чего происходит ошибка в расчетах и помечаются ошибочные записи. Исправить это стало возможно благодаря Ntfs-fix.
Проблемы после установки Service Pack 5
Все в отношении проблем использования Service Pack 4 на компьютерах для издательской деятельности осталось в силе и для Service Pack 5. Так что не рекомендуется установка этого обновления на компьютеры, использующиеся для издательских систем. Для таких компьютеров можно порекомендовать Service Pack 3 с Y2K поправками.
Пользователям Client Service for Netware следует обратить внимание на ошибку в nwprovau.dll, из-за которой все время печатаются разделительные страницы, вне зависимости от установок. Эта ошибка устраняется заменой файла nwprovau.dll в каталоге %SystemRoot%/System32 на аналогичный из Service Pack 4.
Хочу обратить внимание пользователей Internet Information Server на то, что в Service Pack 4 была исправлена недоработка, в результате которой при сообщении об ошибке в IDC файле отображался полный физический путь к этому файлу. По странному стечению обстоятельств она опять появилась после установки Service Pack 5.
Service Pack 4 и Service Pack 5 изменяют базу данных SAM, поэтому если вы решили удалить эти пакеты обновления, сохраните файлы samsrv.dll, samlib.dll, lsasrv.dll, services.exe, msv1_0.dll и winlogon.exe от этих пакетов обновления. Впрочем, если вы создали Uninstall каталог, программа удаления не будет заменять эти файлы старыми, но если вы устанавливаете, например, Service Pack 3, то на вопрос системы о замещении этих файлов старыми ответьте отказом. В противном случае вход в систему станет невозможным.
Что будет дальше
В июле 1999 года вышла Beta версия Service Pack 6, и он находится в стадии тестирования. По сообщениям представителей Microsoft, он,, как и Service Pack 6 будет необязательным и выйдет в сентябре-октябре этого года. Из-за отсутствия новых функций его стабильность окажется выше, чем у предыдущих обновлений.
Деятельность Microsoft по активному развитию обновлений привела к значительному улучшению стабильности и безопасности Windows NT за последнее время. Многие администраторы остались довольны проделанной работой, теперь у них появилась возможность, найдя ошибку или актуальную для их конфигурации уязвимость в системе безопасности, поработать над тем, чтобы ее устранить. Другие компании выпускают подверсии своих продуктов, и вместо Service Pack 4 или Service Pack 5 мы могли бы увидеть Windows NT 4.5, доступную за дополнительную плату. Мы же видим бесплатные обновления, содержащие не только исправления ошибок, но и новые возможности. Так что Microsoft исправляет свои ошибки бесплатно, а в виде бонуса предоставляет своим заказчикам новые возможности.
КОМПЬЮТЕР-ИНФОРМ Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей