Microsoft: «Реальный прогресс» в области безопасности

Корпорация утверждает, что за последний год она добилась «реального прогресса» в исполнении своей программы Trustworthy Computing, но критикует предприятия за пренебрежение к профилактическим мерам.

Выступая на конференции Microsoft Worldwide Partner в Торонто, вице-президент по безопасности Майк Нэш сказал, что ключевой задачей сейчас является выпуск Windows XP Service Pack 2 и стандартной редакции Internet Security and Acceleration Server 2004.

Масса предложенных Microsoft инструментов и процессов для обновления ПО тоже принесла свои плоды. За последние десять месяцев интенсивность использования службы Windows Automatic Update потребителями возросла на 400%, а к веб-сайту Microsoft, обеспечивающему обновление ПО, теперь подключено 112 тыс. уникальных серверов.

Однако Нэш посетовал на то, что многие пользователи все еще слишком пассивно относятся к безопасности. «Я не перестаю удивляться тому, как много заказчиков не задумывается о плане обеспечения безопасности», — сказал он.

Нэш призвал партнеров и реселлеров подталкивать заказчиков к установке последних версий Windows, так как они лучше защищены, однако признал, что это безнадежно. В первую очередь, по его словам, пользователям следует обновить программное обеспечение Microsoft «для серверов, которые обращены в интернет, а также для мобильных машин и лаптопов».

«Те заказчики, которые используют Windows Server 2003, находятся в гораздо большей безопасности, чем те, кто пользуется Windows 2000», — сказал он.

Microsoft представила также новую технологию защиты, которая позволит ИТ-менеджерам предотвратить возможность подключения пользователей к корпоративной сети, если на их машины не установлены нужные обновления и правила безопасности.

Технология Network Access Protection (NAP) определяет «состояние здоровья» ПК или лаптопа, который пытается подключиться к сети, и будет поставляться в составе обновленной версии Windows Server 2003 с кодовым названием R2, которая должна выйти в будущем году.

В частности, NAP определяет, соответствует ли клиентская машина правилам доступа к сети, определенным ИТ-подразделением. Некондиционные машины автоматически подключаются к отдельной, ограниченной сети, где имеются все необходимые исправления и обновления к антивирусам. После установки соответствующего ПО машина автоматически получает доступ к нормальной сети.

CEO Microsoft Стив Баллмер также признал, что до завершения программы Trustworthy Computing еще далеко. «Мы еще не добились удовлетворительного уровня безопасности, но мы опережаем многих других», — заявил он на конференции.

В продолжение темы:

2004-07-16		Service Pack 2: исправление неисправимого
2004-10-18		Cisco и Microsoft обещают взаимодействующие средства защиты
2004-11-30		Microsoft отказалась от SP5 для Windows 2000

Обсуждение и комментарии

	Andy 15 Jul 2004 11:56 AM
Похоже, нитересная это технология - NAP. И перспективная. Легальный способ не вызывая подозрений опросить удалённый компьютер на предмет наличия всех известных уязвимостей! Это ж мечта вирмэйкера :)

	00alex 15 Jul 2004 12:53 PM
Балмер: «Мы еще не добились удовлетворительного уровня безопасности, но мы опережаем многих других». Это кого он имел ввиду? ;-) Отрадно, что MS сами признали - безопасность у них неудовлетворительная ;-)

	FenixNBK - fenixtheopencd.net 15 Jul 2004 12:55 PM
Andy : Полностью Согласен ! Честно - сам я недодумался о том что это палка о двух концах, я посчитал - что это классная технология, а вовсе забыл о том КАК она может быть применена... Единственное о чем придется молится - так это о том - что NAP можно будет отключить у клиента, и что сервер сможет требовать отчет, только если ты подсоединяешся к корпоративному домеину, а не просто бродиш по нету а тебя сканируют...

	00alex 15 Jul 2004 12:59 PM
кстати, гуру MS, вопрос вам, а есть ли в каких-нибудь виндах, специальный сервис (служба), которая может качать апдейты для всех компьютеров локальной сети - выступать неким Proxy? Т.е. если с локального компьютера нажать кнопку windowsUpdate, оно сначала ищет сервер в локальной сети, с такой службой, а потом коннектиться к корневому в MS, если не нашла. А служба эта, работая на сервере могла бы скачивать апдейты и проверять на вшивость (NAP?) компьютеры локальной сети. ИМХО было бы гораздо удобнее для организаций с большим количеством компов, а то пока все проапдейтишь стока трафику накачаешь... а руками качать патчи лень... есть?

	Нос 15 Jul 2004 1:04 PM
да, есть http://www.microsoft.com/windowsserversystem/sus/default.ms px Странно, что вы про это не знаете..

	Z$ 15 Jul 2004 1:16 PM
«Мы еще не добились удовлетворительного уровня безопасности, но мы опережаем многих других» а он прав, они реально опережают и у них туча рекордов в этом плане: вирусы для субд вирусы для веб сервера заплатки для неудачной заплатки пока таких результатов еще никто не добивался, наверно плохо старались, зато мс теперь удолетворена :)

	Wintermute - devnul.ru 15 Jul 2004 1:43 PM
2 00alex: SUS, SMS. P.S.: Я не гуру.

	Пётр 15 Jul 2004 4:12 PM
вот ведь звиздуны опять собрались. 1. Прежде чем звиздеть про NAP, хотя бы почитали что ли про него. http://www.microsoft.com/windowsserver2003/techinfo/overvie w/naparch.mspx 2. Если уж ищете инструмент поиска уязвимостей - посмотрите на MBSA. 3. SUS, или как он теперь зовётся WUS поможет нулевому алексу.

	Andy 15 Jul 2004 4:46 PM
2Пётр: 1. ответа недостойно. 2. Если что-то может быть использовано во вред, оно будет использовано во вред. Aint? 3. ---

	Пётр 15 Jul 2004 6:02 PM
1. Что ссылка, которую я привёл - недостойна Вашего внимания? Ну тогда, извините, меня, что позволил себе такую глупость. 2. глупость несусветная. Почитайте всё-таки документик, про который ссылка в первом пункте.

	A 15 Jul 2004 7:37 PM
> 2. глупость несусветная. Почитайте всё-таки документик, про который ссылка в первом пункте. Это была бы глупость, если бы не была многократно проверена и подтверждена в самых разнообразных областях деательности. IT не является исключением. Утверждение, что что-то невозможно использовать никак иначе, чем это задумано создателями, само по себе является верхом глупости.

	Alexander S. 15 Jul 2004 9:52 PM
Пётр, Сам себе поражусь, но вынужден согласиться с господами критиками NAP. Замечу, что после внимательного прочтения документа, на который вы дали линк. Система описанная интересна, но ключевая проблема: сервер вынужден доверять клиенту. А клиент, как мы с вами знаем, может быть хакнут или заражен. Система в принципе, для тех кто не прочитал документ, выглядит так: Клиент: дайте мне IP address. Сервер: а ты хто такой? К.: Windows XP SP1, Firewall off, Norton Antivirus 2003 сигнатуры от 1 мая 2000 года диск сканирован 5 октября 1999 года. С.: Староват ты, братец, для нас. Скачай SP2 отсюда, включи Firewall, обнови сигнатуры NAV чтобы были хотя бы от 13 июля 2004 года- вот отсюда, просканируй диск на вирусы и приходи опять. ... проходит время Клиент: ваше благородие, докладаю, усё выполнил как сказано! Сервер: молодец! Служишь бизнесу, вот тебе IP адрес, заходи! +++ То же, но с клиентом который был хакнут-заражён новой версией червя знакомой с NAP и с протоколами обмена данных между клиентом и сервером. Разумеется, червь убил антивируса и подменил собой агенты ответственные за обмен информацией с сервером. Зараженный Клиент: дайте мне IP address. Сервер: а ты хто такой? ЗК: Я? Эта, значится: Win XP SP7, firewall on, NAV 2010 с сигнатурами от 1 апреля 2037 года, диск на вирусы просканировал секунду назад и усё чисто. Гадом буду! Сервер: ух какой молодец! Служишь бизнесу, вот тебе IP адрес, заходи!

	Отец 16 Jul 2004 1:55 AM
:кстати, гуру MS, вопрос вам, а есть ли в каких-нибудь виндах, специальный сервис (служба), которая может качать апдейты для всех компьютеров локальной сети - выступать неким Proxy? SUS. Обновляет только систем(ы), причем w2k и старше, требует наличия установленного клиента на пользовательской машине, если она до-SP2. При первом запуске тащит из сетки гигабайт хлама :) Жалоб среди знакомых виндоюзеров много на глюки в работе продукта. Требует суровой дисциплины от пользователя и стабильности электропитания - иначе леХко можно представить, какая попа будет при накатывании апдейта и отрубании електричества или выключения компьютера ударом сапога. --- :Система описанная интересна, но ключевая проблема: сервер вынужден доверять клиенту. А клиент, как мы с вами знаем, может быть хакнут или заражен. Вот именно (c) Хр. Моржов. Сервер как раз НЕ должен доверять клиенту.

	ccv 16 Jul 2004 4:47 AM
"Отрадно, что MS сами признали - безопасность у них неудовлетворительная ;-) " --- А у кого она удовлетворительная? Только не нужно про линух. OpenBSD - да, и то потому, что с самого начала они всегда занимаются безопасностью, постоянно.

	-- 16 Jul 2004 10:29 AM
2ccv: про pax слышали? а опенок только недавно снмп прикрутили. и кому оно такое нуна? :)

	00alex 16 Jul 2004 11:59 AM
2ccv: По мне, так я считаю безопасность window вполне удовлетворительной для себя (личного и персонального рабочего использования). Но вот делать публичный сервис на ней делать не стану. Возможно зря я так, но это, как в том анекдоте про "осадок остался" ;-)

	Пётр 16 Jul 2004 2:51 PM
ну даст тут кто-нибудь ссылку на этот rax или нет? "леХко можно представить, какая попа будет при накатывании апдейта и отрубании електричества или выключения компьютера ударом сапога." А вот Митсубиси делает плохие кондишены, потому что если подать на цепь между внешним и внутренним блоком 380 Вольт вместо 5, то плата установленная в управляющей системе сгорает и починить её стоит очень дорого.

	Пётр 16 Jul 2004 2:52 PM
Если нужна принудительная установка апдейтов на клиентские машины, то тут конечно же SMS нужен.

	Илья 17 Jul 2004 7:00 AM
Ну хорошо, признали некрософтовцы, что их глюкалы - дыра на дыре. Но почему они не хотят признать причину, по которой пользователи боятся устанавливать обновления? А причина такая - установка любого такого пакета смертельно опасна и для сервера, и для десктопа. В вымени нет надежного отката на предыдущее стабильное состояние (не надо мне втирать про встроенные средства, это мусор). Перед каждым обновлением необходимо делать полный бэкап системы, иначе вы рискуете положить предприятие, которое решили осчастливить новым уровнем безопасности. Из-за такого вот убожества этого рая для домохозяйки и тянут с обновлениями до последнего, пока гром не грянет. Кстати, мышевозы, запомните, что в линуксе с любого неудачного обновления (а я таких не припомню) можно откатиться, даже не перезагружая сервер. Перезагрузка для виндовозного сервера - это как клизма для страдающего запорами.

	Нос 17 Jul 2004 9:42 AM
2Илья: сколько пафоса, матерных слов... прямо жуть берет. Ты вот, Илья, ответь на простой вопрос - если я кернел обновляю, не сохранив предыдущей копии, что мне тогда делать? Подскажи, а, Илья?

	Илья 17 Jul 2004 5:53 PM
>если я кернел обновляю, не сохранив предыдущей копии, что мне тогда делать Немедленно пройти пропитку креозотом, деревянные админы подвержены гниению.

	A 17 Jul 2004 8:58 PM
Можно я подскажу ? При обновлении кернела и удалении резервной рабочей копии (это уже кто-то ручками пошалил имея рутовую консоль) поможет любой носитель, с которого может быть загружена эта ОС, в том числе флоп, CD, USB и т.д. Установочные диски не исключение. От нее требуется только одно - предоставить командную среду (sh,bash,ksh,zsh - на выбор) средства монтирования разделов (mount) и средства смены корня (chroot). После применения этих трех средств админ может совершенно спокойно работать в системе со слетевшим ядром не замечая никакой разницы. Соответственно, он может изменить всё что угодно, в том числе и ядро. Встречный вопрос - при загрузке win появляется черный экран с белыми надписями, которые предлагают вам переставить ОС, потому что такой-то системный файл не найден. Это происходит в любой выбранной по F8 конфигурации, в том числе и в безопасном режиме. Что делать ?

← июнь 2004

11 12 13 14 15 16 18 19 20

август 2004 →