Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Когда лекарство опаснее самой болезни

Росс М. Гринберг

Около года назад Джон Хикс, директор по информационным технологиям одной крупной компании, решил задействовать последний (на то время) набор исправлений и дополнений к операционной системе Windows NT 4.0. Речь идет о сервисном пакете Service Pack 3 (SP3). Тщательно следуя инструкции, он установил этот пакет и сразу же потерял доступ к реестру своего главного контроллера домена, список контроля доступа (Access Control List — ACL) которого оказался испорченным. Лишенный прав, он не смог решить возникшую проблему системными средствами. Восстановить необходимую системную информацию из резервной копии также не удалось. Невинная попытка исправить некоторые досадные огрехи в работе системы и устранить “дыры” в ее подсистеме безопасности привела к “гибели” всей системы. Хиксу пришлось переустанавливать ее заново. Понятно, что он не был в восторге от всего этого. Как сообщил недавно Хикс, сейчас он мучительно размышляет над тем, стоит ли устанавливать новый пакет SP4.

Случай с Хиксом не уникален, ведь при изменениях в системе часто возникают проблемы. Поэтому важно найти ответы на следующие вопросы: можно ли избежать подобных ситуаций? можно ли обойтись без последних системных исправлений вообще?

Внушительный список исправлений и дополнений, содержащихся в SP4, просто пугает. Особенно страшно становится тогда, когда вспоминаешь, что в предыдущий пакет SP3, предназначенный в основном для “латания дыр” в подсистеме безопасности, были включены средства для исправления ошибок, содержащихся в пакете SP2. Предполагалось, что с выходом SP4 процесс внесения исправлений в подсистему защиты Windows NT завершится, и она станет по-настоящему надежной. Увы, надеяться на это уже не приходится, поскольку стало известно о включении в очередной пакет SP5 средств для решения некоторых проблем, связанных с обеспечением информационной безопасности, которые решаются с помощью SP2 или SP3, но после установки SP4 появляются снова.

По мнению некоторых сетевых администраторов, сервисные пакеты плохо тестируются (иначе в них не было бы столько исправлений). Поэтому их волнует вопрос: можно ли полагаться на эти пакеты в плане обеспечения информационной безопасности? Стоит также отметить, что ОС Windows NT 4.0 все еще не прошла сертификацию на соответствие уровню защиты C2 (ему соответствует только Windows NT 3.51 со своими сервисными пакетами). Кроме того, в группах новостей, а также на сервере http://ntbugtraq.ntadvice.com, все еще появляется немало сообщений о проблемах с обеспечением безопасности в среде Windows NT.

Что же происходит? Как можно полагаться в каком-либо бизнесе крупнее розничной торговли фруктами с лотка, на продукт, имеющий такую же “незапятнанную” репутацию, как Моника Левински. В системе Windows 2000 имеется немало нового кода. Надежна ли она в плане информационной безопасности? Будут ли ей присущи уже известные недостатки, характерные для Windows NT 4.0 с установленным SP4, или возникнут новые проблемы?

Пакет SP4 — это не просто набор исправлений. В него включено новое средство обеспечения информационной безопасности — Security Configuration Manager (SCM). Эффективно ли оно? Очевидно, нет. Один сетевой администратор сообщил нам, что после установки SCM, все экраны управления ACL его системы оказались замененными на что-то напоминающее управляющие интерфейсы справочника Active Directory, и вернуть эти экраны назад оказалось невозможно. (Кому нужны неработающие исправления или добавления, действующие необратимо?) Фирма Microsoft признает наличие данной проблемы, причина которой описана в ее документе Q195509, хранящемся в онлайновом архиве по адресу http://www.microsoft.com/support. Оказывается, все дело здесь в том, что ПО SCM предназначено для работы с Windows 2000 и реализует наследование прав доступа к объектам не так, как это делает Windows NT 4.0. Если бы упомянутый выше администратор не предпринял некоторых мер предосторожности, он безвозвратно потерял бы информацию об отлаженной конфигурации своих ACL, и могла возникнуть такая опасная ситуация, когда у каждого пользователя сети появились бы права чтения и записи в отношении любого файла на сервере. Несомненно, здесь налицо небрежная или неполная реализация программного продукта. Стыдно, Microsoft! Надеемся, что в SP5 будут включены средства для решения этой проблемы.

Как считают некоторые администраторы, применяющие Windows NT, Microsoft никогда не “заделает всех дыр” в подсистеме безопасности этой ОС, в связи с этим они испытывают довольно сильное беспокойство по поводу защищенности своих сетей: вдруг хакеры воспользуются какой-нибудь еще никому не известной ошибкой в Windows NT и доберутся до важных данных.

По утверждению Дэвида Ле-Бланка из международной консалтинговой фирмы Internet Security Systems, занимающейся проблемами информационной безопасности, в SP4 содержится немало очень важных исправлений и добавлений, повышающих безопасность Windows NT. Он отмечает, что SP4 улучшает защиту данных при работе с протоколом SNMP, а также аутентификацию и контроль целостности информации при взаимодействии сервера с рабочими станциями.

Думаем, большинство проблем, связанных с применением сервисных пакетов, обусловлены их недостаточным тестированием. Иначе как объяснить тот факт, что почти сразу же после выхода SP4 появились дополнительные “горячие” исправления (hot fixes) и началась работа по созданию SP5. По-видимому, старое эмпирическое правило сервисного программирования, которое гласит: на каждые две исправленные ошибки приходится одна новая, действует безотказно.

В то же время Дэвид Ле-Бланк считает SP4 неплохим продуктом и, несмотря на все имеющиеся недостатки, полагает, что его использование обеспечит боўльшую надежность работы и лучшую защищенность системы, чем SP3 с его “горячими” исправлениями. Однако стоит отметить следующее: внесение в подсистему безопасности всех исправлений, выпущенных Microsoft, не гарантирует надежной защиты данных на сервере, если сам системный администратор плохо “подкован” в вопросах обеспечения информационной безопасности. И снова возникает вопрос: а стоит ли применять сервисные пакеты?

Если вы достаточно опытный системный администратор (а скорее всего, таковым вы и являетесь, иначе не читали бы эту статью), который осуществляет резервное копирование данных и использует межсетевой экран (firewall), то не сомневайтесь и применяйте их. И не стоит особо беспокоиться по поводу, например, появления нового сетевого вируса. У вас хватит опыта, чтобы понять, какая опасность угрожает вашей сети и как защитить ее.





  
5 '1999
СОДЕРЖАНИЕ

колонка редактора

• С компьютерным новым годом!

локальные сети

• Об NT по существу: «Ну перенесите же приложения на Linux!»

• Тестируем консолидированные серверные системы

• Эти разные, разные устройства FC-AL

• Комфорт для людей и машин

• Наведение порядка в распределительных шкафах

• Огнеупорные материалы — необходимый атрибут любой сетевой инфраструктуры

интернет и интрасети

• Его величество потребитель

• Четыре среды разработки Java для проектов уровня предприятия

• Механизмы, балансирующие нагрузку Web-узлов

защита данных

• Когда лекарство опаснее самой болезни

• Не слишком ли хороши биометрические устройства?

корпоративные сети

• Беда нечаянно нагрянет...

• Метасправочники обеспечат синхронизацию информации о пользователях

• Анализаторы протоколов АТМ и Gigabit Ethernet: главные баталии еще впереди

• Средства системного мониторинга уровня предприятия

услуги сетей связи

• Интегрированные сети — технологии и политика

• Службы многоадресной рассылки факсов: экономия плюс эффективность

• Системы LMDS: хороший шанс и

• Война параллельных миров: научная конференция под эгидой Госкомсвязи

новые продукты

• Новые анализаторы спектра новой измерительной компании; Драйвер персональной сетевой защиты IP-LIR; NSG-500 мал да удал!



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх