Как влияет Service Pack 5 на работу средств удаленного доступа

Журнал "Windows 2000 Magazine" , #02/2000
ШОН ДЕЙЛИ

Шон Дейли - один из редакторов журнала Windows NT Magazine и президент компании iNTellinet Solutions, занимающейся консалтингом и сетевой интеграцией. Имеет звание MCSE. Последней из его книг была "Optimizing Windows NT", выпущенная издательством IDG Books. С ним можно связаться по адресу электронной почте: sean@ntsol.com.

Предполагается, что Microsoft тестирует дополнения и изменения прежде, чем выпустить очередной Service Pack, и что новые пакеты исправлений должны улучшать работу программного обеспечения. Если же подходить с этими критериями к Service Pack 5 (SP5), возникает желание назвать его "саботажным пакетом 5". Уже очевидно, что он негативно влияет на работу средств удаленного доступа - RAS, RRAS и DUN - настолько, насколько это вообще возможно.

Давайте кратко перечислим проблемы, связанные с удаленным доступом, которые могли бы сподвигнуть пользователей на установку новоиспеченного пакета. Вот список основных ошибок SP4, которые разработчики обещали устранить в SP5.

• Если соединение DUN запускается с помощью ярлыка, пользователя ждет визит д-ра Ватсона.
• При работе приложений с интерфейсом RasDial происходит утечка дескрипторов - дескрипторы маркеров процессов открываются, но никогда не закрываются.
• Запуск диспетчера удаленных соединений rasman.exe из командной строки с длинным списком параметров приводит к сообщению о нарушении прав доступа.
• Автоматическая установка службы маршрутизации и удаленного доступа Routing and Remote Access Service (RRAS) не работает.
• Попытка создать новое соединение в административной программе RRAS заканчивается сообщением о нарушении прав доступа.
• На медленных каналах связи соединения RRAS прерываются из-за истечения тайм-аута.
• RRAS перестает отвечать на звонки при большой нагрузке и отказывается работать, если установить количество гудков равным 0.

Глядя на этот довольно-таки устрашающий список ошибок, любой администратор NT должен был бы ухватиться за SP5 обеими руками. Действительно, вряд ли новый пакет исправлений способен ухудшить положение - куда уж хуже? К сожалению, это не так. Ниже я вкратце перечислю наиболее известные ошибки SP5, связанные с удаленным доступом (опубликованные Microsoft исправления к SP5 можно найти по адресу: ftp://ftp.microsoft.com/bussys/winnt/ winnt-public/fixes/usa/nt40/hotfixes-postsp5).

• Защита и неверные записи телефонной книги. Когда в телефонную книгу умышенно заносят некорректные записи, буфер может переполниться, что ослабляет защиту удаленных соединений. В частности, эта ошибка позволяет злоумышленнику запускать приложения, присваивать себе необходимые привилегии и атаковать клиента RAS по широко известной схеме "отказ в обслуживании" (Denial of Service, DoS). Эта ошибка исправляется специальной "заплаткой" RAS-fix, которая описана в статье "Malformed Phonebook Entry Security Vulnerability in RAS Client" (http://support.microsoft.com/support/kb/ articles/q230/6/77.asp).
• Проблемы с кэшированием паролей соединений удаленного доступа. Когда пользователь подключается к удаленной системе, появляется диалоговое окно, в котором имеется флажок "Сохранить пароль"; если он установлен, система кэширует пароль подключения. Однако после установки SP5 эта функция начинает работать иначе - независимо от состояния флажка "Сохранить пароль" RAS кэширует пароль в системном реестре. В результате пароль пользователя может оказаться в чужих руках со всеми вытекающими отсюда последствиями. Специалисты Microsoft прокомментировали этот вопрос в статье "DUN Credentials Cached When Save Password Not Selected with RAS" (http://support.microsoft.com/support/kb/ articles/q230/6/81.asp); ее устраняет исправление RASPassworddialer-fix.
• Проблемы с кэшированием паролей соединений RRAS. Эта ошибка идентична предыдущей, но относится к соединениям RRAS. Она описана в статье "DUN Credentials Cached When Save Password Not Selected with RRAS" (http://support.microsoft.com/support/kb/ articles/q233/3/03.asp); исправление RRASPassword-fix можно загрузить с узла Microsoft.

Итак, я перечислил только основные обнаруженные пользователями ошибки. После выпуска SP5 новые проблемы и соответствующие "заплатки" от Microsoft обнаруживаются почти ежедневно. Тем, кто собирается установить SP5 или любую "заплатку" к нему, очень рекомендую сначала протестировать их в непроизводственной среде. Здесь уместно напомнить оговорку Microsoft относительно "заплаток": "Опубликовано официальное исправление, устраняющее эту ошибку, однако оно не прошло исчерпывающего тестирования и рекомендуется к применению только на системах, где обнаружена данная проблема".

Сейчас уже доступен Service Pack 6. Однако не следует ожидать от него слишком много - на сайте Microsoft были опубликованы исправления к еще не вышедшему пакету, чтобы залатать "дыру" в системе защиты RAS! Судя по опыту работы с SP4 и SP5, мне придется собственноручно заняться "исчерпывающим тестированием", прежде чем устанавливать SP6 на любом из своих серверов.