Введение
Результаты исследования, проведённого на прошлой неделе, показывают, насколько подозрительно ИТ-профессионалы относятся к Microsoft Service Pack 2 (SP2) для Windows XP. По данным AssetMetrix, SP2 установлен на менее 24% из более чем 136 000 ПК с Windows XP в 251 североамериканской корпорации.
Это исследование было опубликовано за несколько дней до того, как Microsoft убрала механизм “блокировки”, который временно отменял доставку SP2. В этот вторник Microsoft дала официально понять, что на ПК должен быть установлен SP2, чтобы получать обновления и исправления безопасности Windows XP.
В исследовании не указываются причины, почему ИТ-администраторы так и не установили SP2 на большинство машин. Связано ли это с тем, что администраторы, часто “по уши” загруженные работой и замученные пользователями в корпоративной среде, не имели времени установить обновление? Разве они не знают о новых функциях безопасности в SP2, которые столь активно продвигает Microsoft? Или причиной является банальная лень?
После нашего общения с некоторыми ИТ-администраторами ответ оказался не так прост. Основной причиной того, почему многие ИТ-администраторы не устанавливают SP2, является опасение вероятных повреждений системы, связанных с пакетом обновления. Проблемы могут усугубиться вплоть до известного “синего экрана смерти”, когда Windows откажется даже загружаться (обратитесь к нашему руководству Ремонтируем Windows XP: руководство Tom’s Hardware Guide, чтобы решить эту проблему).
Microsoft даже упоминает подобную опасность в документации для профессиональных пользователей Windows.
“Сегодня в компьютерной прессе появилось много сообщений о наличии проблем совместимости с собственным CRM-программным обеспечением Microsoft и популярной игрой Halo, к сожалению, выявленных слишком поздно в процессе бета-тестирования, – сообщает Microsoft. – К счастью, все эти проблемы уже решены (см. соответствующие страницы продуктов), а также некоторые другие нестыковки с брандмауэрами третьих компаний и другими утилитами. Но урок таков: ИТ-профессионалы должны быть аккуратны и последовательны при установке этого или любого другого программного обновления”.
В целом, в проблемах совместимости после выхода SP2 в августе 2004 ничего нового нет. Тем, кто успешно установил SP2, зачастую приходилось искать драйвер от производителей периферии или “заплатку” для программы, чтобы решить проблему с совместимостью. Если средний пользователь желал заставить работать цифровую камеру или поиграть в Halo (да, собственная игра Microsoft Halo отличилась проблемами совместимости с SP2 в самом начале), ему приходилось посещать сайт производителя и скачивать обновления. Однако пользователи отмечали появление и более серьёзных проблем после установки SP2. Например, системные крахи.
Для ИТ-администратора, который работает часто с сотнями или тысячами отдельных ПК, сложность проблемы, по сравнению с рядовым пользователем, возрастает экспоненциально. В частности, возникали проблемы совместимости с наследственным межплатформенным ПО, специально сконфигурированным для конкретной сети. Да и сбои систем тоже не были редкостью. Поэтому многие приняли решение блокировать установку SP2, учитывая риски. Это и объясняет малую долю ПК с SP2 в исследовании AssetMetrix.
Зачем нужен SP2?
Нажмите на картинку для увеличения!
По информации на web-сайте Microsoft, преимущества SP2 существенно перевешивают риски. Вероятно, вы слышали следующее: “Service Pack 2 для Windows XP обеспечивает активную защиту против вредоносного кода, блокируя его выполнение, а не просто латая существующие “дыры”.
Для ИТ-администраторов и технически подкованных пользователей Microsoft объясняет, как SP2 даёт существенно лучшую защиту против атак методом переполнения системного буфера. Именно эти атаки часто используются для кражи паролей и другой ценной информации. В SP2, как утверждает Microsoft, перекомпилировано очень много двоичного кода. SP2 также позволяет ПК и серверам задействовать биты запрета исполнения процессоров AMD Athlon 64, Intel Itanium и новых Pentium 4. Бит запрещает выполнение вредоносного кода, использующего атаку переполнения буфера. Среди других функций SP2 отметим улучшенный брандмауэр и расширенную поддержку беспроводных сетей 802.11.
Предложение, от которого лучше отказаться?
Однако многие ИТ-администраторы и эксперты по безопасности, чья ежедневная работа включает в себя битву за стабильную работу систем, пытаясь предупредить любые атаки, больше связывают SP2 с системными крахами. А предлагаемые преимущества не расценивают, как очень уж привлекательные.
“Любое обновление операционной системы влечёт потенциальный риск сбоя существующих приложений. В больших организациях он может быть катастрофический, – сказал Брюс Шнейер (Bruce Schneier), основатель и главный технический директор консалтинговой фирмы по проблемам безопасности Counterpane Internet Security. – Преимущества SP2 по безопасности минимальны, поэтому некоторые ИТ-менеджеры не считают, что они оправдывают риск”.
В самом деле, один из ИТ-администраторов, с которым мы связались, был очень огорчён тем, что новые функции SP2 приводят к определённым рискам. “Как только мы установили SP2 на машины, мы получили множество “синих экранов” и подобных сбоев. Кроме того, Microsoft выпустила огромное количество “заплаток” для SP2, которые очень сильно раздражают, – сказал Стив Робертс (Steve Roberts), ИТ-администратор из ЛаПорте, техасского филиала компании Maersk Sealand. – Теперь Microsoft желает добавить ещё новые функции, типа блокирования adware-программ и подумывает об антивирусной защите: но я попытаюсь держаться от всего этого в стороне, и все, кого я знаю, думают так же. Я не хочу устанавливать миллион “заплаток” ещё и на антивирусную программу и подобные утилиты”.
Как сказал Робертс, на некоторые сетевые машины в компании вообще решили не устанавливать Windows XP. “Конечно, мы хотели поставить XP, но система оказалась недостаточно стабильной для меня, поэтому ряд наших машин работает под Windows 2000”.
Кто же управляет вашим ПК?
Брюс Шнейер (Bruce Schneier), основатель и главный технический директор консалтинговой фирмы по проблемам безопасности Counterpane Internet Security.
Требование Microsoft по скачиванию и установке SP2 для получения обновлений Windows XP многим может показаться слишком жёстким, но разве выходит оно за рамки принятой стратегии? По словам Шнейера, этот шаг Microsoft является ещё одним показателем большой тенденции, когда вы всё меньше и меньше контролируете ваши компьютеры.
“Программное обеспечение можно будет выключать удалённо, если компания решит, что вы ей не нравитесь или задолжали. Всё больше программ требуют наличия других программ, – сказал Шнейер. – На компьютерах мы всё чаще используем дополнительные программы, дополнительные сети и дополнительные компании, которые получают всё больший и больший контроль”.
И вокруг этого контроля сегодня и происходят основные битвы, сказал Шнейер. “Владею ли я программой, или ею владеет Microsoft? – спрашивает он. – Microsoft утверждает, что владеет она, а пользователь всего лишь лицензирует программу и, если сложится, сможет с ней работать”.
В случае SP2 Microsoft желает, чтобы люди проводили модернизацию по её требованию, утверждает Шнейер. “Microsoft желает, чтобы люди платили ей по требованию. Microsoft хотела бы перейти к модели, когда мы платим деньги, а она всё за нас делает. Корпорация не желает, чтобы мы что-либо контролировали. SP2 – это лишь небольшой шаг, но мы знаем, в каком направлении.”
Но поскольку практически все используют Windows, а Microsoft, по всей видимости, заставляет пойти на шаг, который может испортить систему, насколько это этично? “Хотелось бы увидеть показательные судебные процессы, когда у пользователей произошли повреждения из-за требований Microsoft, – сказал Шнейер. – Я думаю, что подобные процессы будут”.
Так ли страшен SP2?
Ричард Рашин (Richard Rushing), главный технический директор компании по беспроводному мониторингу AirDefense.
Ричарда Рашина (Richard Rushing), главного технического директора компании по беспроводному мониторингу AirDefense, нельзя назвать защитником Microsoft. Он поделился своим не очень удачным опытом по установке SP2 в сети на 100 пользователей. “Я помню, что мне пришлось скачивать для ноутбука около 20 Мбайт прошивок, обновлений BIOS и других “заплаток”, чтобы заставить машину работать, – сказал Рашин. – И это был не только SP2, но и все изменения, связанные с ним. Производителям ПО пришлось переписывать код, чтобы обеспечить возможность модернизации. Теперь они говорят: если вы не будете модернизировать систему, то мы не будем поддерживать её до уровня ниже SP2″.
Но даже с учётом этого, Рашин считает, что организации должны обязательно устанавливать SP2 на всех ноутбуках, работающих в сети, особенно с поддержкой 802.11.
“В чистой Windows XP и SP1 есть ряд опасных функций. В чистой Windows XP, если не будет найдена беспроводная сеть с предпочитаемым SSID, то система автоматически создаст сеть AdHoc, где не будет работать ни аутентификация, ни WEP, – сказал Рашин. – Те же проблемы перенеслись и в SP1, причём множество контролирующих функций в SP1 реализовывается автоматически, поэтому если использовалось одно и тоже SSID в окружении AdHoc, то производится автоматическое подключение. SP2 многое изменил.”
SP2 также существенно отличается по доступной информации о беспроводном подключении к сетям 802.11. “Вы получите множество предупреждений, скажем, если вы подключаетесь к открытой точке доступа без шифрования. Если вы переходите от домашнего маршрутизатора Linksys Wi-Fi к другому, то система запросит, желаете ли вы переключиться, и предоставляет необходимую информацию о маршрутизаторе”.
Заключение
Если у вас только один ПК в доме или офисе, или у вас несколько машин, то установка SP2 не будет большой проблемой. (Вероятно, так как риск всё же существует, что машина будет сбоить и перестанет загружаться после установки SP2). Если некоторые старые программы могут быть несовместимы с SP2, про большинство новых такого не скажешь. Если вы поддадитесь Microsoft и установите SP2, то работа с Windows XP действительно станет более безопасной.
Но если вы отвечаете за 100 или больше ПК, то до этой недели вы могли счастливо скачивать обновления без установки SP2. Но теперь так уже не получится. Ситуация особенно усложняется, если вам придётся скачивать многие мегабайты обновлений на каждую машину, чтобы просто заставить SP2 работать.
Но оставим практические соображения и попробуем подвести итог. Может ли одна из самых крупных в мире компаний, которая практически обладает монополией в сфере операционных систем для ПК, принуждать вас к определённым действиям с операционной системой, которую вы купили? Мы даже не затрагиваем сходные, но не имеющие прямого отношения к нашей теме проблемы. Типа отказа Microsoft от выпуска обновлений безопасности для Windows98 или ситуацию, которая произойдёт со старыми наследственными программами и системами после выхода 64-битной версии Windows. Что нам делать с проблемой SP2?
Дома или в небольшом офисе можно выбрать Linux или платформу Mac, обойдя проблему с SP2. Но для ИТ-профессионала и администратора пойти на такой шаг не так просто. Именно поэтому дилемму с SP2 можно рассматривать как небольшой взгляд в будущее: кто и что будет контролировать в мире информационных технологий?