查看單個文章
舊 2006-03-07, 01:06 AM   #11 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

XP SP2接觸之網路安全技術

Alerter 服務和 Messenger 服務修正

Alerter 服務作用是是通知所選用戶和電腦有關係統管理級警報。如果服務停止,使用管理警報的程序將不會受到它們。如果此服務被禁用,任何直接依賴它的服務都將不能啟動。

Messenger服務作用是傳輸客戶端和伺服器之間的 NET SEND 和 Alerter 服務消息。此服務與 Windows Messenger 無關。如果服務停止,Alerter 消息不會被傳輸。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。

在Windows XP SP2中, 對於這兩個服務的唯一也是重要的修正是: 這兩個服務預設的啟動檔案類型均改為了禁止. 而在SP2之前的版本中, Alerter 服務啟動檔案類型為手動, Messenger服務啟動檔案類型為自動.

Microsoft 這次修改這兩個服務的預設啟動狀態的原因是這些服務在一定程度上允許了外來的網路連接,侵入和攻擊. 另外, 一個次要的原因, 這兩個服務目前已經很少使用. 禁用這兩個服務, 將一定程度上提高了系統的安全等級. 因此, 對於那些經常使用這些服務和用戶通訊的網路管理員, 還有在程序開發中使用這些服務進行網路通訊和廣播的開發人員應該注意到這個重要的更正. 使用其他的更安全的通訊方式是我們推薦的方法. (當然, 你可以強制在系統管理工具中開啟這兩個服務, 雖然這不明智) 也許, Microsoft將要拋棄這兩個服務了.. 確實, 它們帶來的麻煩遠遠多於好處.
藍牙技術支持

藍牙技術作為在大量移動設備之間的一種廉價,短距離的連接和通訊方式, 目前已經得到越來越廣泛的套用. 而用戶也開始要求Microsoft在Windows中內裝支持對藍牙的支持, 在這次的Windows XP SP2更新中, 加入了對藍牙無線技術的直接支持.

主要的功能列表:

藍牙設備的電腦連接
使用藍牙鍵盤和滑鼠建立無線桌面
藍牙設備間的文件傳輸
藍牙列印機的輸出
通過藍牙移動電話連線到電腦網路或者Internet
通過藍牙移動電話設定到Internet的IP連接
如果安裝了第3方(當然也包括Microsoft)的相關程序, 系統將支持一些附加功能如:

藍牙手機或PDA設備和電腦之間的通訊錄和日程的同步
從GPS接受設備上讀取坐標
在Windows XP SP2中支持如下的藍牙通訊傳輸協定樣板(bluetooth profiles):

Personal Area Networking (PAN), 允許關於藍牙無線技術的IP連接;
Hard Copy Replacement Profile (HCRP), 允許列印;
Host Interface Device (HID), 允許藍牙鍵盤, 滑鼠和遊戲操縱桿;
Dial-Up Networking (DUN), 允許藍牙移動電話按調製解調器的方式工作;
Object Push Profile (OPP), 允許文件傳輸;
Virtual COM ports (SPP), 允許使用舊技術的應用程式與藍牙設備之間的通訊
另外, SP2中還支持以下兩個藍牙技術特性:

選項性掛起(Selective suspend), 這項特性可以降低通過USB連線到電腦上的藍牙設備的電源消耗;
啟動模式鍵盤(Boot-mode keyboards), 這項特性可以使特殊組態的藍牙鍵盤和BIOS協同工作;
只有當系統中的藍牙接收設備通過了WHQL(Windows Hardware Quality Labs)稽核, 系統藍牙支持才會開啟. 你可以在以下地方找到系統內裝的支持:

控制台 - 網路連接
控制台 - 藍牙設備(Bluetooth Devices)
系統工作工作列 - 藍牙圖示 - 右鍵點擊 - 藍牙工作功能表
開始 - 附件 - 通訊 - 藍牙文件傳輸嚮導(Bluetooth File Transfer Wizard)
如果在昇級SP2之前已經安裝了第3方的藍牙設備驅動, 昇級SP2不會覆蓋原有的驅動, 你可以之後再手動式昇級或者取代原有的第3方驅動.

客戶端系統管理工具

客戶端系統管理工具是一套用來在本機和遠端電腦上管理用戶,電腦,服務和其他系統元件的MMC管理插件。在這些管理插件中的兩套用於管理的系統對話視窗分別為:

選項用戶,電腦和組(Select Users, Computers, or Groups)
通常用於共享目錄的ACL(權限控制列表, access control lists),mmc管理插件中的遠端電腦的重新指定,管理本機用戶和用戶組。
搜尋用戶,聯係人和組(Find Users, Contacts, and Groups)
通常用於在網路芳鄰中搜尋活動目錄,在增加列印機嚮導中搜尋列印機,在活動目錄的用戶和電腦管理單元中搜尋目錄中的對象。
這兩個對話視窗都用於搜尋和選項本機電腦和活動目錄中的對象,如用戶,電腦,列印機和其他具有安全特性的對象。SP2中對客戶端系統管理工具的修正只影響到遠端管理電腦(或者活動目錄)的那一部分工具。本機管理中雖然也有這兩類對話視窗的套用,但並未受到SP2的影響。

受到影響的MMC插件列表如下:

認證(Certificates)
電腦管理(Computer Management)
裝置管理員(Device Manager)
磁牒管理器(Disk Management)
時間檢視器(Event Viewer)
群組原則(Group Policy)
索引服務(Indexing Service)
IP安全監視(IP Security Monitor)
IP安全原則(IP Security Policy)
本機用戶和組(Local Users & Groups)
可移動儲存於(Removable Storage Management)
組合原則(Resultant Set of Policy)
服務(Services)
共用資料夾(Shared Folders)
WMI控件(WMI Control)
受影響的對話視窗和系統管理工具:

選項用戶,電腦和組(Select Users, Computers, or Groups)
搜尋用戶,聯係人和組(Find Users, Contacts, and Groups)
net.exe
以上列出的mmc管理單元在連接遠端電腦時,遠端電腦必須允許使用TCP445連接阜的入站才能建立通訊。然而Windows XP SP2的Windows Firewall 預設設定下阻止TCP445連接阜的入站通訊,從而管理的客戶端將收到以下的錯誤訊息:

Unable to access the computer Computer_Name. The error was Access is denied.
Unable to access the computer Computer_Name. The error was The network path was not found.
Failed to open Group Policy object on Computer_Name. You might not have appropriate rights.
Details: The network path was not found.
An object (Computer) with the following name cannot be found: 「Computer_Name.」 Check the selected object types and location for accuracy and ensure that you have typed the object name correctly, or remove this object from the selection.
Computer Computer_Name cannot be managed. The network path was not found. To manage a different computer, on the Action menu, click Connect to another computer.
System error 53 has occurred. The network path was not found.
如果想正常使用這些管理單元,則必須在WIndows Firewall中開啟TCP445連接阜的入站許可。進入指令行,輸入指令:
DCOM(分佈式元件對像模式)的增強安全

Microsoft DCOM 是一種多層套用的理想技術,它可以使ActiveX的元件在網路上工作,使開發人員很容易地跨越不同機器的界限建立系統。開發人員不必擔憂網路程序和系統匹配就可以把用不同語言寫成的元件整合到一起。DCOM有線通訊傳輸協定(DCOM wire protocol)在COM元件之間透明的提供了穩定,安全和高效的通訊。關於DCOM技術詳細請參考MSDN文件和Technet文件(白皮書)。

大量的 COM 應用程式都包含了一些安全相關的程式碼,如 CoInitializeSecurity 等,當使用弱安全設定時,通常都允許未經認證的行程訪問。在SP2之前的Windows中,管理員無法修改或覆蓋這些設定來提高DCOM的安全等級,也無法瞭解電腦上的COM服務的安全等級,雖然可以對已註冊的COM元件進行安全設定的系統檢測,但安裝Windows XP的電腦預設有近150個COM元件伺服器,作如此之多的檢測顯然是不現實的,而且,在缺少來源碼的情況下,想要瞭解軟體在伺服器上的安全設定也幾乎是不可能的。在COM體系中包含了RpcSs系統服務,這個服務通常在系統啟動時開始載入,用於管理COM對象的啟動,對像表的執行,遠端DCOM helper服務的提供。他同時也暴露了RPC界面使其能被遠端使用。由於某些COM伺服器允許未經認證的遠端訪問,這些DCOM界面將允許包括未認證用戶在內的所有用戶的訪問。從而,RpcSs服務很容易招來未認證的遠端電腦的惡意攻擊。

電腦範圍限制原則(Computer-wide restrictions)

為了緩解這個問題,在WIndows XP SP2中引入了電腦範圍限制原則(Computer-wide restrictions),在電腦的COM伺服器上的任何訪問,啟動和執行,電腦範圍限制原則都提供了對電腦範圍ACL的附加權限稽核,也就是一個附加的AccessCheck使用,如果權限稽核失敗,使用,啟動或執行將被拒絕。而這些AccessCheck針對的是伺服器原有的ACL之外的附加列表,因此也稱之為電腦範圍ACL(computerwide access control list)。電腦範圍限制原則提供了訪問任何COM伺服器所必須通過的一個最小許可標準。在元件服務(Component Services)mmc中可以單獨設定分別具有執行,啟動或訪問權限的作用域ACL。如圖:


http://article.pchome.net/00/02/16/55/restrictions.png



由此,應用程式通過CoInitializeSecurity或者其他的特定的安全設定造成的弱安全DCOM訪問現在可以通過電腦範圍ACL來得到較合理的解決。也就是說,不管伺服器的特定設定是什麼,這個最小許可標準必須稽核通過。

這些限制緩和許多 COM 應用程式在設定上的弱點,讓管理員對電腦上所有已登入之 COM 應用程式的安全性設定,可以有更深入的瞭解。它也讓管理員有能力停用外來的 DCOM 啟動,啟動和訪問。這些存取控制在每次訪問、啟動和啟動電腦上任何 COM 伺服器時,針對電腦範圍ACL 執行額外的 AccessCheck 檢查。如果 AccessCheck 失效,就會拒絕訪問、啟動和啟動要求。這並不影響伺服器專用 ACL 所做的任何 AccessCheck。事實上,它提供的是最基本的驗證,一切都必須經過此驗證才能存取電腦上的 COM 伺服器。其中包括電腦範圍啟動和啟動ACL,以及電腦範圍訪問權限的ACL 。這些可以透過元件服務MMC管理單元加以設定。


預設情況下,WIndows XP的限制設定如下:

  權限類別
Permission 管理員組
Administrators 所有用戶
Everyone 匿名用戶
Anonymous
啟動 本機啟動
本機啟動
遠端啟動
遠端啟動

*只有管理員用戶可以執行遠端的啟動和啟動,而禁止了非管理員的遠端啟動也就達到了禁止了非管理員用戶遠端安裝COM伺服器的目的
本機啟動
本機啟動

*所有用戶均應該能在任何情況下有權限執行本機的操作。
 
訪問   本機訪問
遠端訪問

*允許遠端訪問也就允許了大部分的COM客戶端操作情況, 包括COM客戶端通過本機引用到達遠端伺服器的方式。在這種情況下應該禁止需要認證的遠端訪問。
本機訪問


這些變更可能會影響一些應用程式。尤其是如果應用程式需會仰賴以往所有人都具備遠端訪問權限的預設狀況,因為 SP2 可能會停用未經驗證的遠端訪問。SP2 應該會啟用大多數COM 客戶端案例,包括COM 客戶端傳送本地機參考至遠端伺服器的一般狀況,使客戶端轉換成伺服器。SP2應該會啟用所有的本地機案例,而不必修改軟體或操作系統。

如果用作COM 伺服器,且會需要支持由非管理性COM 客戶端執行遠端啟用功能,則您就應該考慮那是否為最佳狀態。這種情況下就必須變更此功能的預設狀態。如果需要支持未驗證的遠端呼叫,也應該考慮那是否為最佳狀態。同樣這種情況下必須變更此功能的預設狀態。

注意以下註冊表鍵,它們包含了在這種情況下的ACL:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\ MachineAccessRestriction= ACL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\ MachineLaunchRestriction= ACL



ACL的鍵值檔案類型為REG_BINARY,它記錄了訪問電腦上的COM類和對象的權限訊息,以下是權限資料代表的值的具體列表:

COM_RIGHTS_EXECUTE 1
COM_RIGHTS_EXECUTE_LOCAL 2
COM_RIGHTS_EXECUTE_REMOTE 4
COM_RIGHTS_ACTIVATE_LOCAL 8
COM_RIGHTS_ACTIVATE_REMOTE 16



這些ACL權限值均可由通常的安全行程所建立。需要注意的是,COM_RIGHTS_EXECUTE權限必須設定,否則COM對象的ACL權限將因為缺少這個基本執行權限而處於無效狀態。

細化COM權限

COM伺服器應用程式有兩類權限,啟動權限和訪問權限。啟動權限是在啟動COM服務時使用權稽核的控制,它在註冊表中定義為安全描述。訪問權限是在訪問COM服務時的使用權稽核的控制,它定義為由COM體系通過CoInitializeSecurity API提供或在註冊表中定義的安全描述。COM訪問權限的另一個區別是距離。在SP2之前的Windows XP系統中,當用戶存取COM 應用程式時,他們有權在本地機或遠端使用。但COM應用程式無法提供更細化的控制。SP2 細化了COM 權限,讓管理員可根據距離的觀念,彈性控制電腦的COM權限原則。也就是分為本機和遠端。本機的COM消息通過Local Remote Procedure Call(LRPC)傳輸協定傳輸,遠端COM消息則通過Remote Procedure Call (RPC)傳輸協定,如TCP。因此,當瞭解了COM訪問的來源,有限制的使用權遠端的訪問,可以一定程度上緩和受到網路攻擊的風險。

COM啟動是指在客戶端通過使用CoCreateInstance或其變體得到COM委託界面的行為。啟動權限的一個不利方面是,有時為了滿足客戶端的請求,COM服務必須在啟動狀態。啟動權限聲明了被允許啟動COM伺服器的用戶列表,訪問權限則聲明了被允許啟動COM對像或者當COM服務執行時被允許訪問的用戶列表。

SP2的另一個改變是訪問權限和啟動權限的分離以反映兩個不同的操作,啟動權限從以前的訪問類權限ACL移到了啟動類權限ACL中。當一個COM界面游標同時相關了啟動和啟動程序,則啟動權限和啟動權限邏輯上將屬於同一個ACL。這樣改變的另一個原因是由於我們通常都在程序中隊COM對象的訪問權限作程式碼級的控制,而啟動類權限可以在管理單元中方便的設定,把啟動權限放在啟動類權限ACL中將更有利於管理員對COM對像啟動的控制。

權限控制入口(Access Control Entry, ACE)中啟動類權限分為4種具體的權限:

本機啟動(LL)
遠端啟動(RL)
本機啟動(LA)
遠端啟動(RA)
訪問類權限分為2種具體的權限:

本機訪問(LC)
遠端訪問(RC)
這種COM的安全狀態定義可以允許管理員進行更詳細的組態。比如可以設定一個COM服務允許本機的所有用戶訪問,但只有管理員才能遠端訪問,而只需要對這個COM的安全聲明進行組態即可。

相容性

為了向前的相容,現有的安全聲明項定義為同時允許或拒絕本機和遠端訪問。也就是說ACE將同時允許本機和遠端訪問或者同時拒絕本機和遠端訪問。

對於訪問和啟動權限,不存在向前的相容性,只是在啟動權限上有一個要注意的地方,在COM伺服器的現有的安全聲明中如果已設定的啟動權限比訪問權限有更多限制,而且比客戶端啟用案例所需的最低需求的限制還多,此時必須修改啟動權限ACL,使使用權客戶端得到合適的權限。

對於使用預設的安全設定的COM應用程式,不存在向前的相容性問題。對使用COM啟動來動態啟動的COM應用程式,也不存在向前的相容性問題,因為啟動權限ACL中已經包含了可以啟動這個對象的所有用戶。如果這些權限沒有正確的設定,當COM伺服器沒有執行,沒有啟動權限的用戶在試圖啟動這個COM對像時可能會啟動失敗。

面臨最多的相容性問題將是那些已經通過其他機制啟動了的COM應用程式,例如使用檔案總管,服務控制管理啟動的COM應用程式。可以通過使用預設的訪問和啟動權限覆蓋來啟動並啟動COM服務,或者使用比訪問權限更多限制的啟動權限來啟動並啟動。使用預設的安全覆蓋覆蓋時,必須核對應用程式特定的啟動權限ACL是否給了適當的用戶啟動權限的使用權。如果沒有,則必須修改應用程式特定的啟動權限,以提供給適當的用戶所需的啟動使用權以保證這些應用程式和Windows元件能夠正常的使用COM服務。這些應用程式特定的啟動權限儲存在註冊表中。

如果將昇級至Windows XP SP2的系統還原到以前的Service Pack,則經過編輯以允許本機訪問,遠端訪問或兩者都允許的ACE都將被解譯為同時允許本機和遠端訪問。經過編輯以拒絕本機存取,遠端訪問或兩者都拒絕的ACE將被解譯為同時拒絕本機和遠端訪問。因此,在卸載Service Pack 2時,必須先驗證所有的ACE。

Windows XP SP2中DCOM設定的新增和更改

  設定項 位置 舊預設值 新預設值 可能的值
MachineLaunch Restriction HKEY_LOCAL_ MACHINE \SOFTWARE \Microsoft\Ole\ Everyone = LL,LA,RL,RA

Anonymous =LL,LA,RL,RA

(新註冊表鍵)
Everyone = LL,LA,RL,RA

Anonymous =LL,LA
ACL

MachineAccess Restriction HKEY_LOCAL_ MACHINE \SOFTWARE \Microsoft\Ole\ Everyone = LC,RC

Anonymous =LC,RC

(新註冊表鍵)
Everyone = Local, Remote

Anonymous =Local
ACL

CallFailure LoggingLevel HKEY_LOCAL_ MACHINE \SOFTWARE \Microsoft\Ole\ n/a
此鍵預設不存在,預設值為2;

在預設狀態下不記錄事件日誌,此值設定為1時,開始記錄,協助分析故障原因。

注意:在記錄啟用設定下,注意監視事件日誌的大小,因為COM事件的日誌可能很大。
1: 訪問COM伺服器行程時總是記錄失敗日誌;

2: 訪問COM伺服器行程時從不記錄失敗日誌;

InvalidSecurity
Descriptor
LoggingLevel HKEY_LOCAL_ MACHINE \SOFTWARE \Microsoft\Ole\ n/a
此鍵預設不存在,預設值為1;

在預設狀態下不記錄無效安全描述事件,此事件極少發生。
1: COM服務發現無效安全描述時總是記錄;

2: COM服務發現無效安全描述時從不記錄;

DCOM:Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) Syntax (GPO)
Computer Configuration \Windows Settings
\Local Policies \Security Options n/a
未定義 SDDL(Security Descriptor Definition Language)格式的ACL, 此原則值覆蓋上面的 MachineLaunch Restriction 註冊表值
DCOM:Machine Access Restrictions in Security Descriptor Definition Language (SDDL) Syntax (GPO)
Computer Configuration \Windows Settings
\Local Policies \Security Options n/a
未定義 SDDL(Security Descriptor Definition Language)格式的ACL, 此原則值覆蓋上面的 MachineAccess Restriction 註冊表值


win2003sp1下dx9c重裝

win2003sp1帶的dx9c缺少directmusic,所以不少遊戲都沒有聲音或無法遊戲,其實只要先下載最新的dx9c的安裝包,解壓縮後把dxnt這個包再解壓,找到dxnetsrv.inf這個文件右鍵安裝就可以了,根本不用什麼dx移除程式就可以搞定。其他的都不用去管,因為2003sp1的已經有其他的dx文件。
之後一切搞定
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次