Предполагается, что Microsoft тестирует дополнения и изменения прежде, чем выпустить очередной Service Pack, и что новые пакеты исправлений должны улучшать работу программного обеспечения. Если же подходить с этими критериями к Service Pack 5 (SP5), возникает желание назвать его 'саботажным пакетом 5'. Уже очевидно, что он негативно влияет на работу средств удаленного доступа - RAS, RRAS и DUN - настолько, насколько это вообще возможно.

Давайте кратко перечислим проблемы, связанные с удаленным доступом, которые могли бы сподвигнуть пользователей на установку новоиспеченного пакета. Вот список основных ошибок SP4, которые разработчики обещали устранить в SP5.

• Если соединение DUN запускается с помощью ярлыка, пользователя ждет визит д-ра Ватсона.
• При работе приложений с интерфейсом RasDial происходит утечка дескрипторов - дескрипторы маркеров процессов открываются, но никогда не закрываются.
• Запуск диспетчера удаленных соединений rasman.exe из командной строки с длинным списком параметров приводит к сообщению о нарушении прав доступа.
• Автоматическая установка службы маршрутизации и удаленного доступа Routing and Remote Access Service (RRAS) не работает.
• Попытка создать новое соединение в административной программе RRAS заканчивается сообщением о нарушении прав доступа.
• На медленных каналах связи соединения RRAS прерываются из-за истечения тайм-аута.
• RRAS перестает отвечать на звонки при большой нагрузке и отказывается работать, если установить количество гудков равным 0.

Глядя на этот довольно-таки устрашающий список ошибок, любой администратор NT должен был бы ухватиться за SP5 обеими руками. Действительно, вряд ли новый пакет исправлений способен ухудшить положение - куда уж хуже? К сожалению, это не так. Ниже я вкратце перечислю наиболее известные ошибки SP5, связанные с удаленным доступом (опубликованные Microsoft исправления к SP5 можно найти по адресу: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp5).

• Защита и неверные записи телефонной книги. Когда в телефонную книгу умышенно заносят некорректные записи, буфер может переполниться, что ослабляет защиту удаленных соединений. В частности, эта ошибка позволяет злоумышленнику запускать приложения, присваивать себе необходимые привилегии и атаковать клиента RAS по широко известной схеме 'отказ в обслуживании' (Denial of Service, DoS). Эта ошибка исправляется специальной 'заплаткой' RAS-fix, которая описана в статье 'Malformed Phonebook Entry Security Vulnerability in RAS Client' (http://support.microsoft.com/support/kb/articles/q230/6/77.asp).
• Проблемы с кэшированием паролей соединений удаленного доступа. Когда пользователь подключается к удаленной системе, появляется диалоговое окно, в котором имеется флажок 'Сохранить пароль'; если он установлен, система кэширует пароль подключения. Однако после установки SP5 эта функция начинает работать иначе - независимо от состояния флажка 'Сохранить пароль' RAS кэширует пароль в системном реестре. В результате пароль пользователя может оказаться в чужих руках со всеми вытекающими отсюда последствиями. Специалисты Microsoft прокомментировали этот вопрос в статье 'DUN Credentials Cached When Save Password Not Selected with RAS' (http://support.microsoft.com/support/kb/articles/q230/6/81.asp); ее устраняет исправление RASPassworddialer-fix.
• Проблемы с кэшированием паролей соединений RRAS. Эта ошибка идентична предыдущей, но относится к соединениям RRAS. Она описана в статье 'DUN Credentials Cached When Save Password Not Selected with RRAS' (http://support.microsoft.com/support/kb/articles/q233/3/03.asp); исправление RRASPassword-fix можно загрузить с узла Microsoft.

  Итак, я перечислил только основные обнаруженные пользователями ошибки. После выпуска SP5 новые проблемы и соответствующие 'заплатки' от Microsoft обнаруживаются почти ежедневно. Тем, кто собирается установить SP5 или любую 'заплатку' к нему, очень рекомендую сначала протестировать их в непроизводственной среде. Здесь уместно напомнить оговорку Microsoft относительно 'заплаток': 'Опубликовано официальное исправление, устраняющее эту ошибку, однако оно не прошло исчерпывающего тестирования и рекомендуется к применению только на системах, где обнаружена данная проблема'.

Сейчас уже доступен Service Pack 6. Однако не следует ожидать от него слишком много - на сайте Microsoft были опубликованы исправления к еще не вышедшему пакету, чтобы залатать 'дыру' в системе защиты RAS! Судя по опыту работы с SP4 и SP5, мне придется собственноручно заняться 'исчерпывающим тестированием', прежде чем устанавливать SP6 на любом из своих серверов.