Service pack 2 для windows xp. Сервіс замовляли?

Таким чином, Windows XP SP2 стає тією самою операційною системою, з якою більшості користувачів доведеться співіснувати найближчі кілька років.

Тому давайте-ка це майкрософтовського нововведення «роз`яснимо». О, скільки нам відкриттів дивних готує сервіс-пака старт!

Скока вішати в метрах?

Як ми вже писали, при оновленні системи «штатними» засобами, за допомогою автоматичного оновлення або вузла Windows Update, доведеться завантажити від 80 до 90 Мбайт даних. Наскільки раціональний такий підхід - вирішувати вам, адже при кожній перевстановлення системи ці самі мегабайти доведеться качати заново. Для тих, хто більше довіряє своїм рукам і окремим exe-файлів, існує варіант установчого архіву об`ємом близько 270 Мбайт, який можна або завантажити з сайту Microsoft, або замовити на компакт-диску. З ним можна оновлювати скільки завгодно комп`ютерів і як завгодно часто, більш того - приклавши до нього руки, можна самостійно створити завантажувальний компакт-диск Windows XP з уже інтегрованим другим сервіс-паком. Але перед тим, як його завантажувати, потрібно розібратися: яку мову сервіс-пака вибрати для закачування і установки.

Твоя моя розумій

Перед тими, хто «за звичкою» користується англомовною версією Windows XP, проблема вибору не варто: зрозуміло, завантажувати та встановлювати потрібно англійську версію. А ось користувачам російської версії - точніше, версії Windows XP з російським інтерфейсом - потрібно бути уважнішими. Справа в тому, що отримати «російськомовну» Windows XP можна двома шляхами: або установкою спочатку російської ОС, або ж використанням англомовної версії Windows XP з подальшою інсталяцією MUI - спеціального пакета, локалізується інтерфейс операційної системи (установники MUI, зрозуміло, бувають не тільки російськомовними ). У першому випадку вам потрібен російський сервіс-пак (файл WindowsXP-KB835935-SP2-RUS.exe вагою 266 375 Кбайт), у другому - необхідно завантажувати та встановлювати оригінальну англійську версію сервіс-пака (WindowsXP-KB835935-SP2-ENU.exe, 272391 Кбайт).

Якщо ви не знаєте, який з варіантів встановлений на вашому комп`ютері, то можете перевірити це, відкривши панель управління «Мова і регіональні стандарти»: в системах, локалізованих шляхом установки MUI, на закладці «Мови» з`являється меню, що випадає «Мова, що використовується в меню і діалогах »(рис. 1), відсутнє в спочатку російськомовних операционках.

Незважаючи на те що англійську сервіс-пак навідріз відмовляється встановлюватися на російську операційну систему, при його інсталяції поверх Windows XP, русифікованої із застосуванням MUI, вас чекає сюрприз: практично всі нові компоненти системи будуть мати російськомовний інтерфейс!

Слід зазначити і те, що в уже існуючу локалізацію також були внесені зміни: багато службові повідомлення «переведені» з програміста на людську мову. Наприклад, на зміну старому повідомленням «Швидкісне USB-пристрій підключено до повільного концентратора ...», вводить в ступор не одного початківця користувача, прийшло просте і зрозуміле «Це пристрій може працювати швидше» (рис. 2). Взагалі, інтерфейс системи після установки сервіс-пака стає набагато більш дружнім: і мова російська, і іконки симпатичніше…

Безпека понад усе?

Втім, головне завдання другого сервіс-пака - зовсім не тішення очей користувача новими іконками і написами, а латання численних дірок і зміна концепції управління безпекою комп`ютера з метою зниження ризику вірусних атак і несанкціонованого доступу. Як ми вже писали, найбільш помітним (в прямому сенсі слова) нововведенням став «Центр забезпечення безпеки» (рис. 3), буквально кидається в очі відразу після перезавантаження комп`ютера з свіжовстановленому сервіс-паком. Однак якщо копнути глибше, то як раз в самому «Центрі» нічого важливого щось і ні - це всього лише інформаційна панель управління, що показує стан різноманітних компонентів «активної безпеки» комп`ютера (брандмауера, антивіруса і системи автоматичного оновлення), що сповіщає про проблеми з будь-яким з цих компонентів і дозволяє отримати доступ до їх налаштувань. Найцікавіше, що в «Центрі» вже виявлена ​​уразливість, що дозволяє зловмисникові ... підробити інформацію про статус роботи компонентів безпеки. Вона зберігається в базі даних, доступ до якої відкритий будь-якій програмі - в тому числі і модулів ActiveX, - і може бути змінена непомітно для користувача. Таким чином, «Центр безпеки» може клястися в тому, що на сторожі системи стоять антивірус і брандмауер, а насправді ці компоненти будуть вимкнені «засланим козачком». Безсумнівно, ймовірність подібної події дуже мала і в більшості випадків користувач самостійно повинен запустити програму-«шкідника», але все ж довіряти «Центру безпеки» на всі сто, на жаль, не можна.

Брандмауер з одним вікном

Брандмауер Windows Firewall, що встановлюється другим сервіс-паком, в порівнянні зі своїм попередником Internet Connection Firewall (ICF) став «крутіше на порядок», хоча як і раніше не дотягує по функціональності до програм сторонніх розробників, серед яких, до речі, є і безкоштовні ( зокрема, від Agnitum і Kerio). Наприклад, брандмауер Windows блокує тільки вхідні підключення.

У попередній версії між завантаженням операційної системи і початком роботи брандмауера існував часовий лаг, викликаний очікуванням застосування локальних політик користувача - поки вони не завантажувалися, ICF не працював, що дозволяло «пропхати» пакетик-другий без фільтрації. Нова версія має спеціальну завантажувальну політику, що дозволяє брандмауера рвати з місця в кар`єр, а потім, у міру потреби, довантажувати локальні політики і на їх основі змінювати параметри своєї роботи.

Друге нововведення - глобальні політики фільтрації мережевих з`єднань. Якщо попередня версія налаштовувала фільтри для кожного з`єднання по-своєму, то нинішня «фільтрує базар» на основі загальних правил, незалежно від того, через яке підключення йде з`єднання. Безсумнівно, можливість налаштовувати індивідуальні властивості брандмауера для окремих підключень збереглася, але застосування групової політики дозволяє бути впевненим, що будь-яке нове з`єднання буде захищено як мінімум не гірше вже існуючих.

Введено обмеження вхідного трафіку по окремих портів - можна або повністю відкрити порт для вхідного трафіку, або обмежити його локальною мережею або списком адрес (рис. 4). Крім того, до режимам роботи брандмауера, крім банальних «Включено» і «Виключено», додався режим «Включено без будь-яких винятків», блокуючий будь-який вхідний трафік. Цей режим рекомендований до використання в «небезпечних» місцях - наприклад, при підключенні до відкритих для загального доступу бездротових мереж.

Додалися, нарешті, панель управління, що дозволяє гнучко налаштовувати брандмауер (рис. 5), і безліч об`єктів групових політик для конфігурації всіх можливих параметрів Windows Firewall за допомогою редактора політик (рис. 6).

Недіяння - шлях до нірвани

Ще одним кроком до вдосконалення безпеки комп`ютера стала технологія запобігання виконання даних (DEP), що служить, за великим рахунком, для боротьби з Великим і Жахливим переповненням буфера. Принцип роботи цієї основної «лазівки» вірусів і троянських конярів в тому, що програма запускається з областей пам`яті, відведених для Windows та інших програм, потім займає області пам`яті, які використовуються іншою програмою, і в кінці кінців починає поширюватися в системі.

Існують два варіанти боротьби з цією напастю: апаратний і програмний. У першому випадку процесор комп`ютера позначає області пам`яті для даних і забороняє запускати звідти програмний код. Додаток, спробувати це зробити, примусово блокується і закривається, що не дозволяє викликати переповнення буфера даних і запустити шкідливий програмний код. Але оскільки більшість існуючих процесорів не підтримує цей режим (Відповідно, приділяти їй місце в цій статті ми не будемо: навряд чи у більшості наших читачів знайдуться системи з апаратною підтримкою DEP- тих же, у кого знайдуться, відішлю до найдокладнішому розбору цієї функції в бібліотеці MSDN), Microsoft розробила його програмну симуляцію, що дозволяє запобігти виконанню коду даних на будь-якому комп`ютері з встановленим Service Pack 2.

На відміну від брандмауера або антивірусного програмного забезпечення функція DEP не перешкоджає установці потенційно небезпечних програм на комп`ютері, а тільки стежить за тим, як програми використовують пам`ять. За замовчуванням після установки Service Pack 2 функція DEP включена для основних програм і служб Windows, але існує чотири варіанти її налаштування (див. Табл.)

Відео: Install Windows XP Service Pack 3 update

Перші два доступні через панель управління «Система» (вкладка «Додатково» / розділ «Швидкодія» / кнопка «Параметри» / закладка «Запобігання виконання даних», рис. 7), проте для повного включення або виключення DEP доведеться відредагувати файл boot.ini , додавши в розділі [operating systems] в кінець рядка ... WINDOWS = "Microsoft Windows XP Professional" / fastdetect ключ / NoExecute з однією з опцій:

NoExecute = OptIn (Так написано в офіційних документах Microsoft, однак на своєму досвіді я переконався, що того ж ефекту можна домогтися, додавши ключ / NoExecute взагалі без всяких опцій)
NoExecute = OptOut
NoExecute = AlwaysOn
NoExecute = AlwaysOff

Для чого може знадобитися відключення функції DEP щодо окремих програм або системи в цілому? На жаль, багато програм і драйвери (серед них такі відомі програми, як Norton CleanSweep, Paint Shop Pro 8 і ін.) Написані так, що викликають її спрацьовування, а це завжди веде до примусового завершення програми (цікаво, що за певних умов спрацьовування DEP викликає завершення роботи навіть «Центру довідки та підтримки» Windows XP). Для усунення подібних проблем Microsoft рекомендує вибрати режим OptOut і додати ці програми в список виключень. Але! Програма-то зазвичай складається не з одного модуля, що виконується, а з багатьох динамічних бібліотек, і немає ніякої гарантії, що вам вдасться точно визначити, які з них викликають спрацьовування DEP. А якщо і вдасться - додавати ручками кожну «застукали на місці злочину» бібліотеку може виявитися виснажливим. Крім того, якщо за замовчуванням функція DEP стежить тільки за системними службами та процесами, то при перемиканні в режим OptOut її дію пошириться на всі процеси, запущені в системі, за вирахуванням тих, які додані в список виключень, - а значить, це може викликати примусове закриття якийсь інший програми ... У цьому випадку, можливо, простіше буде відключити DEP цілком шляхом редагування boot.ini. На жаль, програмне забезпечення недосконале, і ця корисна функція може поки виявитися передчасною - хоча, якщо ви не страждаєте від настирливості DEP, краще все ж залишити її включеною. Спокійніше буде.

Йе-е-е!

Відео: Установка Windows XP Service Pack 2

Не обійшли стороною «безпечні» нововведення і Internet Explorer. Однак при їх безсумнівною корисності в справі боротьби з різноманітною мережевий шпаною, яка винаходить все нові і нові витончені методи проникнення в чужий комп`ютер через створення веб-сторінок, начинених активним вмістом, пролазити в будь-яку відому дірку Internet Explorer, перше враження може бути швидше дратівливим. Припустимо, відкриваєте ви «Довідку» який-небудь програми - того ж Adobe Photoshop, скажімо. Багато виробників софту (і Adobe в їх числі) в останні роки створюють довідкові файли в форматі html, і відкриваються вони, відповідно, за допомогою IE. Так ось: замість довідки ви отримаєте повідомлення системи безпеки про обмеження відображення активного вмісту поточним файлом. А вміст щось у довідки про-го-го яке активне! Того ж пошуку потрібно адже за всіма файлик пробігтися, щоб знайти цікаві для вас теми, а IE йому не дає. І на екрані ви бачите зовсім не те, що задумували розробники сторінки, і при кожному переході повідомлення про активний вмісті все з`являється і з`являється, противно побульківая і страшно набридаючи (рис. 8).

На щастя, це поведінка можна припинити установкою галочки в параметрах безпеки IE - «Вирішувати запуск активного вмісту файлів на моєму комп`ютері» (рис. 9). Аналогічна галочка, встановлена ​​навпроти активного вмісту компакт-дисків, дозволить вам побачити оболонку CD, зроблену із застосуванням веб-технологій, саме такою, якою її задумав дизайнер, без обмежень, що накладаються системою безпеки.

Чудово реалізована блокування спливаючих вікон - тут і додати нічого. На відміну від інших програм, які або перешкоджають появі всіх спливаючих вікон, навіть корисних, або, навпаки, «всіх пропускають», IE дозволяє вибрати ступінь блокування (рис. 10). При налаштуваннях за замовчуванням блокуються всі вікна, що відкриваються автоматично або в фоновому режимі, і пропускаються вікна, що відкриваються для користувача клацанням по посиланню. При бажанні можна взагалі заборонити появу нових вікон, крім випадку, коли користувач клацає по посиланню з натиснутим Ctrl. Правила блокування не поширюються на сайти, що знаходяться в зонах безпеки «Місцева інтрамережа» і «Надійні вузли», а також на сайти, додані користувачем в «білий список». Заблокувавши вікно, IE повідомляє вам про це і дає можливість або тимчасово відключити функцію блокування для даного сайту, або додати його в «білий список». Але без жодних питань блокуються так лякали недосвідчених користувачів і так улюблені «порноділки» (Під цим терміном я маю на увазі всіх веб-майстрів, які користуються так званими «порнотехнологіямі» при розробці та розкрутці сайтів) вікна, що відкриваються ширше десктопа або за його межами.

Інша корисна новинка - менеджер модулів, що дозволяє переглянути як всі встановлені, так і запущені в поточний момент «штепсели» (plug-ins) до IE (рис. 11), при необхідності оновити їх або ж заблокувати до чортової бабусі. Це ще один удар по «порноділки», що використав недосвідченість юзера для установки в своїх корисливих цілях годинку программулечек - наприклад, постійно підміняють адресу стартової сторінки адресою якогось «полуничного» ресурсу. Крім іншого, оно менеджер в разі зависання браузера дозволяє визначити і покарати винного, а також дає можливість регулювати завантаження додаткових модулів з Мережі, перевіряючи їх від першого до останнього біта. Важливий нюанс: відключені надбудови не використовуватимуться тільки IE і Windows Explorer- будь-який інший програмі, заснованої на движку IE, буде глибоко наплювати на установки менеджера модулів.

Відео: Windows XP Home Edition Service Pack 2 on VMWare Workstation

Взагалі кажучи, в забезпеченні безпеки браузера стільки нового, що розробники навіть змінили його код USER AGENT, додавши в нього буквосполучення SV1 (Security Version 1). Тепер браузер з встановленим пакетом оновлень рапортує про себе як Mozilla / 4.0 (compatible- MSIE 6.0- Windows NT 5.1 SV1 ...). Повний же список змін з їх докладним описом займає 69 сторінок і доступний в розділі «Download» сайту Microsoft. Пряме посилання відрізняється підвищеною неудобовбіваемостью (Але хто захоче - набере: go.microsoft.com/fwlink/?LinkId=28022), але бажаючі можуть скористатися пошуком, вказавши в якості шуканого файл WinXPSP2_Documentation.zip, в якому, крім браузерних, зібрані повні описи всіх нововведень другого сервіс-пака. Попереджаю одразу: чтиво захоплююче, але ду-уже об`ємне!