Предполагается, что Microsoft тестирует дополнения и изменения
прежде, чем выпустить очередной Service Pack, и что новые пакеты
исправлений должны улучшать работу программного обеспечения. Если же
подходить с этими критериями к Service Pack 5 (SP5), возникает
желание назвать его 'саботажным пакетом 5'. Уже очевидно, что он
негативно влияет на работу средств удаленного доступа - RAS, RRAS и
DUN - настолько, насколько это вообще возможно.
Давайте кратко перечислим проблемы, связанные с удаленным
доступом, которые могли бы сподвигнуть пользователей на установку
новоиспеченного пакета. Вот список основных ошибок SP4, которые
разработчики обещали устранить в SP5.
- Если соединение DUN запускается с помощью ярлыка, пользователя
ждет визит д-ра Ватсона.
- При работе приложений с интерфейсом RasDial происходит утечка
дескрипторов - дескрипторы маркеров процессов открываются, но
никогда не закрываются.
- Запуск диспетчера удаленных соединений rasman.exe из командной
строки с длинным списком параметров приводит к сообщению о
нарушении прав доступа.
- Автоматическая установка службы маршрутизации и удаленного
доступа Routing and Remote Access Service (RRAS) не работает.
- Попытка создать новое соединение в административной программе
RRAS заканчивается сообщением о нарушении прав доступа.
- На медленных каналах связи соединения RRAS прерываются из-за
истечения тайм-аута.
- RRAS перестает отвечать на звонки при большой нагрузке и
отказывается работать, если установить количество гудков равным
0.
Глядя на этот довольно-таки устрашающий список ошибок, любой
администратор NT должен был бы ухватиться за SP5 обеими руками.
Действительно, вряд ли новый пакет исправлений способен ухудшить
положение - куда уж хуже? К сожалению, это не так. Ниже я вкратце
перечислю наиболее известные ошибки SP5, связанные с удаленным
доступом (опубликованные Microsoft исправления к SP5 можно найти по
адресу: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp5).
- Защита и неверные записи телефонной книги. Когда в телефонную
книгу умышенно заносят некорректные записи, буфер может
переполниться, что ослабляет защиту удаленных соединений. В
частности, эта ошибка позволяет злоумышленнику запускать
приложения, присваивать себе необходимые привилегии и атаковать
клиента RAS по широко известной схеме 'отказ в обслуживании'
(Denial of Service, DoS). Эта ошибка исправляется специальной
'заплаткой' RAS-fix, которая описана в статье 'Malformed Phonebook
Entry Security Vulnerability in RAS Client' (http://support.microsoft.com/support/kb/articles/q230/6/77.asp).
- Проблемы с кэшированием паролей соединений удаленного доступа.
Когда пользователь подключается к удаленной системе, появляется
диалоговое окно, в котором имеется флажок 'Сохранить пароль'; если
он установлен, система кэширует пароль подключения. Однако после
установки SP5 эта функция начинает работать иначе - независимо от
состояния флажка 'Сохранить пароль' RAS кэширует пароль в
системном реестре. В результате пароль пользователя может
оказаться в чужих руках со всеми вытекающими отсюда последствиями.
Специалисты Microsoft прокомментировали этот вопрос в статье 'DUN
Credentials Cached When Save Password Not Selected with RAS' (http://support.microsoft.com/support/kb/articles/q230/6/81.asp);
ее устраняет исправление RASPassworddialer-fix.
- Проблемы с кэшированием паролей соединений RRAS. Эта ошибка
идентична предыдущей, но относится к соединениям RRAS. Она описана
в статье 'DUN Credentials Cached When Save Password Not Selected
with RRAS' (http://support.microsoft.com/support/kb/articles/q233/3/03.asp);
исправление RRASPassword-fix можно загрузить с узла Microsoft.
Итак, я перечислил только основные обнаруженные пользователями
ошибки. После выпуска SP5 новые проблемы и соответствующие
'заплатки' от Microsoft обнаруживаются почти ежедневно. Тем, кто
собирается установить SP5 или любую 'заплатку' к нему, очень
рекомендую сначала протестировать их в непроизводственной среде.
Здесь уместно напомнить оговорку Microsoft относительно
'заплаток': 'Опубликовано официальное исправление, устраняющее эту
ошибку, однако оно не прошло исчерпывающего тестирования и
рекомендуется к применению только на системах, где обнаружена
данная проблема'.
Сейчас уже доступен Service Pack 6. Однако не следует ожидать от
него слишком много - на сайте Microsoft были опубликованы
исправления к еще не вышедшему пакету, чтобы залатать 'дыру' в
системе защиты RAS! Судя по опыту работы с SP4 и SP5, мне придется
собственноручно заняться 'исчерпывающим тестированием', прежде чем
устанавливать SP6 на любом из своих серверов.
Литература по Windows NT
|