荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: presses (云仔), 信区: WinNT
标 题: 白皮书(2)网络保护技术
发信站: 荔园晨风BBS站 (Sat Aug 14 14:31:03 2004), 站内信件
? 2 部分:网络保护技术
发布日期: 2004年08月02日
发布者 技术撰稿人 Starr Andersen 和 技术编辑 Vincent Abella
本文档是 “Microsoft Windows XP Service Pack 2 功能变更” 一书的第 2 部
分
,提供了 Windows XP Service Pack 2 所含的有关网络保护技术的详细信息。 可
从 Microsoft 下载中心http://go.microsoft.com/fwlink/?LinkId=28022 [英文
]
获取本书的其他部分。
本预备性文档适用于 Microsoft Windows XP Service Pack 2 (SP2) 的 Beta
版
本,该服务包用于 32 位版本的 Windows XP Professional 和 Windows XP
Home
Edition。本文档不描述在服务包最终版本中所含的所有变更。
本页内容
Alerter (通知)和 Messenger(信使)服务
Bluetooth(蓝牙)
客户端管理工具
DCOM 安全增强功能
RPC 接口限制
WebDAV Redirector(WebDAV 转发程序)
Windows 防火墙
Windows 媒体播放器
无线网络安装向导
Alerter (通知)和 Messenger(信使)服务
Alerter 和 Messenger 服务有何作用?
Alerter 和 Messenger 服务是允许简单消息通过网络在计算机之间进行通信的
Wi
ndows 组件。Alerter 服务专门用于管理通知,而 Messenger 服务则负责中继来
自
不同应用程序和服务的消息。
此特性适用于哪些用户?
与用户进行通信的管理员应该注意对这些服务的修改。另外,使用这些服务通过网
络向用户通知事件或广播消息的开发人员也请注意这些服务的变化。虽然这些变化
适用于运行 Microsoft Windows XP XP Service Pack 2 的所有计算机,但只作用
于连接到网络的计算机。
Windows?XP Service Pack 2 中修改了哪些现有功能?
禁用 Alerter 和 Messenger 服务
详细描述
在 Windows 的早期版本中,Messenger 服务设置为自动启动,Alerter 服务设置
为
手动启动。在 Windows XP Service Pack 2 中,这些服务除了都被设置为禁用外
,
没有其他修改。
为什么此项修改是重要的?它有助于缓解哪些威胁?
启动后,服务允许引入网络连接,但增加了可能遭受攻击的表面积。因此增加了安
全风险。此外,当前的计算环境并不经常使用这些服务。 由于会增加暴露的攻击
表
面,以及使用范围有限,所以这些服务现在默认为禁用状态。
工作方式有何不同?会停止工作吗?存在依赖性吗
默认状态下,任何应用程序或服务都不能使用 Alerter 和 Messenger 服务与用户
实现通信。
如何解决这些问题?
有两种解决问题的可行方法。 Microsoft 推荐您修改软件,使用其他方法与用户
通
信。这种方法允许您以更高的安全性与用户通信,而无须使用 Alerter 或
Messen
ger 服务。
第二种方法是让应用程序启动 Alerter 或 Messenger 服务来使用其服务。有关启
动服务的信息可从联机帮助和 MSDN 中获取。例如,请参阅 Microsoft Web 站点
上
的 “使用服务管理工具配置服务”:http://go.microsoft.
com/fwlink/?LinkId=
25974 [英文]。
为了能够在 Windows XP Service Pack 2 下使用,我需要修改代码吗?
如果您的代码使用 Alerter 或 Messenger 服务,则可能需要修改代码。更多相关
信息,请参阅上面的 “如何解决这些问题?”。
返回页首
Bluetooth(蓝牙)
Bluetooth 有何作用?
Bluetooth 无线通信技术是连接移动设备的低成本、短距离无线通信供应,可广泛
应用于各种设备。Windows XP Service Pack 2 中包括了对该项技术的支持。
Micr
osoft 以前并不直接支持此项技术,现在则应用户要求将此项技术添加到核心的
W
indows 操作系统中。
使用本版本,您可以:
? 将 Bluetooth 设备连接到计算机
? 使用 Bluetooth 键盘和鼠标创建无线桌面
? 与 Bluetooth 设备互传文件
? 使用 Bluetooth 打印机
? 通过 Bluetooth 移动电话连接到计算机网络或 Internet。
? 通过 Bluetooth 移动电话设置 Internet 的 Internet 协议(IP)连接。
如果 Windows XP 中安装了正确的 Microsoft 软件程序或第三方软件程序,也可
以
使用 Bluetooth 设备执行其它操作,例如:
? 使用 Bluetooth 移动电话或个人数字助理 (PDA) 同步联系人和日历。
? 从 GPS 接收器读取坐标。
本版本也支持以下 Bluetooth 配置文件:
? 个人局域网(PAN)。支持 Bluetooth 无线通信技术上的 IP 连接。
? 硬拷贝替代配置文件(Hard Copy Replacement Profile,HCRP)。支持打印。
? 主机接口设备(Host Interface Device,HID)。支持 Bluetooth 键盘、鼠标
和
游戏杆。
? 拨号网络 (DUN)。让 Bluetooth 移动电话代替调制解调器。
? 拨号网络 (DUN)。让 Bluetooth 移动电话代替调制解调器。
? 对象推送配置文件(Object Push Profile,OPP)。支持文件传输。
? 虚拟 COM 端口(SPP)。让旧版程序能够与 Bluetooth 设备通信。
这些 Bluetooth 特性还包括:
? 选择性挂起。依靠通用串行总线(USB)连接减少与计算机相连的 Bluetooth 收
发器的电力消耗。
? 启动模式(Boot-mode)键盘。支持经过特殊配置并且能与 BIOS 协作的
Blueto
oth 键盘。
如果系统中没有配备 Bluetooth 收发器,系统的行为不会发生变化。当系统中存
在
通过 Microsoft Windows 硬件质量实验室(WHQL)认证的 Bluetooth 设备时,则
启用对 Bluetooth 支持。
启用对 Bluetooth 支持后,可以在控制面板的网络连接中发现变更。另外,还添
加
了称为 Bluetooth 设备 的新“控制面板”项目。您还会在任务栏通知区域中发现
Bluetooth 图标。单击此图标,会看见一个列有可执行的 Bluetooth 任务的菜单
。单击开始,指向附件,然后指向通信,选择Bluetooth 文件传输向导还可以启动
新的文件传输向导。
如果安装了现有的非 Microsoft Bluetooth 驱动程序,升级到 Windows XP
Servi
ce Pack 2 不会导致现有的驱动程序被替换。可在以后由手动或通过程序进行替换
。
要获取 Windows XP Service Pack 2 中有关 Bluetooth 的全部文档,请参阅联机
帮助。
返回页首
客户端管理工具
客户端管理工具有何作用?
客户端管理工具是一套 Microsoft 管理控制台 (MMC) 管理单元,可以管理本地
和远程计算机上的用户、计算机、服务和其他系统组件。这些管理单元在执行管理
工作时使用的两个由系统生成的对话框为选择用户、计算机或组和发现用户、联系
人和组。在共享文件夹上设置访问控制列表(ACL),制定一台远程计算机以改变
管
理单元的目标,或者管理本地用户和组时,使用选择用户、计算机或组。发现用户
、联系人和组用于在 “网上邻居” 中搜索 Active Directory,在 “添加打印机
向导” 中查找打印机,在“Active Directory 用户和计算机” 管理单元里的目
录
中查找对象。
这两个对话框都用于从本地计算机或 Active Directory 发现和选择对象,如用户
、计算机和其他安全主体。虽然其他应用程序可以使用这些对话框,但本节只介绍
这里列出的客户管理工具的变更。
这些特性适用于哪些用户?
这些特性适用于使用受影响的管理工具(这些工具将于下文中列出)远程管理
Win
dows XP 的管理员。不适用于使用这些工具管理本地计算机的管理员和用户。
Windows XP Service Pack 2 中修改了哪些现有功能?
远程连接
详细描述
要将此处所列的管理工具连接到远程计算机,远程计算机必须允许 TCP 端口
445
上传入的网络通信。但是,Windows XP Service Pack 2 中的 Windows 防火墙 的
默认配置阻止在 TCP 端口 445 上传入的网络通信。结果,您可能接收到一个或多
个以下错误消息。接收到任一错误消息时,以下示例消息中以斜体表示的文本会被
对应于该错误条件的系统变量所替换:
? 无法访问计算机?Computer_Name。错误是拒绝访问。
? 无法访问计算机?Computer_Name。错误是找不到网络路径。
? 打开组策略对象失败?Computer_Name。您可能没有相应的权限。
? 详细信息:找不到网络路径。
? 无法找到带有以下名称的对象(计算机):?“Computer_Name。”?检查所选对
象
类型和位置的正确性,确保正确键入对象名称,或从选择中删除该对象。
? 不能管理计算机?Computer_Name?。找不到网络路径。要管理不同的计算机,在
“操作”(Action)菜单中,单击连接到另一台计算机。
? 发生系统错误 53。找不到网络路径。
使用以下 MMC 管理单元执行远程管理时会发生这些错误:
? 证书
? 计算机管理
? 设备管理器
? 磁盘管理
? 事件查看器
? 组策略
? 索引服务
? IP 安全监视器
? IP 安全策略
? 本地用户 & 组
? 可移动存储管理
? 策略结果集
? 服务
? 共享文件夹
? WMI 控件
除 MMC 管理单元之外,以下对话框和管理工具会受到影响:
? 选择用户、计算机或组
? 发现用户、联系人和组
? Net.exe
如何解决这些问题?
要使用这些工具远程连接运行 Windows XP 并启用 Windows 防火墙 的计算机,您
需要打开远程计算机防火墙中的 TCP 端口445。 按照以下步骤操作:
1.
单击开始,指向所有程序,指向附件,单击命令提示符。
2.
在命令提示符下,键入“netsh firewall set portopening TCP 445 ENABLE”,
然后按 ENTER 键。
注意 打开防火墙端口会受到安全攻击。实施操作前应仔细计划并测试任何此类配
置
更改。
返回页首
DCOM 安全增强功能
DCOM 有何作用?
Microsoft 组件对象模型 (COM) 是一种跨平台、面向对象的分布式系统,用于
创
建可相互作用的二进制软件组件。分布式组件对象模型(DCOM)允许应用程序跨位
置分布,给您和应用程序带来了最直观的感觉。DCOM 联网协议支持组件间的可靠
、
安全和有效的通信。有关更多信息,请参阅 “组件对象模型”,位于
Microsoft
Web 站点:?http://go.microsoft.com/fwlink/?LinkId=20922 [英文]
此特性适用于哪些用户?
如果您只将 COM 用于进程内 COM 组件,那么本节内容不适用于您。
此特性适用于使用符合以下标准之一的 COM 服务器应用程序的用户:
? 应用程序的访问权限低于运行该程序需要的权限。
? 远程 COM 客户无须使用管理帐户,通常即可激活运行 Microsoft Windows XP
的
计算机上的应用程序。
? 默认状态下,运行 Windows XP 的计算机上的应用程序使用未验证的远程回调。
? 应用程序只可以被本地使用。这意味着可以限制 COM 服务器应用程序,使其不
能
执行远程访问。
Windows XP Service Pack 2 中的本项特性添加了什么新功能?
计算机范围限制
详细描述
对 COM 的一项修改提供了计算机范围内的访问控制,用于控制计算机上的所有调
用
、激活或启动请求。最简单的方法便是将这些访问控制视为一个附加的
AccessChe
ck 调用,此调用对计算机上的 COM 服务器的每次调用、激活或者启动都会执行。
如果 AccessCheck 失败,调用、激活或启动请求将被拒绝。(除了针对特定服务
器
的 ACL 的任何 AccessCheck。)从结果上看,它为计算机上任何 COM 服务器的访
问提供了一个必须被传递的最小授权标准。将有一个针对启动权限的计算机范围内
的 ACL,以便覆盖激活和启动权限,以及一个针对访问权限的计算机范围内的
ACL
,以便覆盖调用权限。这些可以通过组件服务(Component Services)
Microsoft
管理控制台进行配置。
这些计算机范围的 ACL 能使您覆盖由特殊应用程序通过CoInitializeSecurity或
特
殊应用程序安全设置指定的弱安全设置。这提供了一个最低安全标准,不管特殊服
务器的设置如何,该标准必须执行。
在访问由 RPCSS 暴露的接口时,这些 ACL 受到检查。从而为控制哪些用户能够访
问该系统服务提供了一种方法。
这些 ACL 提供了一个集中位置,管理员可以在其中设置适用于计算机上所有
COM
服务器的通用授权策略。
默认状态下,Windows XP 计算机限制设置是:
权限 管理员 Everyone 匿名
启动
本地(启动)
本地激活
远程(启动)
远程激活
本地(启动)
本地激活
?
访问
?
本地(调用)
远程(调用)
本地(调用)
为什么此项修改是重要的?它有助于缓解哪些威胁?
许多 COM 应用程序,包括一些特定于安全性的代码(例如,调用
CoInitializeSec
urity),使用弱设置除外,经常允许对进程进行未验证的访问。当前,管理员没
有
办法在 Windows的早期版本中覆盖这些设置来强制增强安全。
COM 结构包括 RpcS--在系统启动过程中运行并且之后一直运行的系统服务。它
管
理着 COM 对象和运行对象表的激活,并给远程 DCOM 提供帮助程序服务。同时暴
露
了可被远程调用的 RPC 接口。因为某些 COM 服务器允许未验证的远程访问(如上
节所述),这些接口可以被任何人调用,包括未身份验证的用户。结果,恶意用户
就能使用远程未验证的计算机攻击 RpcS。
在 Windows 的早期版本中,管理员没有办法了解计算机中 COM 服务器的暴露等级
。管理员可以通过对计算机中所有注册的 COM 应用程序的已配置安全设置进行系
统
地检查来获知暴露等级,但是, Windows XP 的默认安装中有约 150 个 COM 服务
器,检查过程令人生畏。没有软件的源代码,就没有办法查看给软件提供安全的服
务器的设置。
DCOM 计算机范围缓和了这三个问题。管理员因此得以可禁用传入 DCOM 激活、启
动
和调用。
工作方式有何不同?会停止工作吗?
默认状态下,允许任何人有权本地启动、本地激活和本地调用。应启动所有本地方
案以避免操作时修改软件或操作系统。这需要使得所有本地情境能在没有改动软件
和操作系统的前提下运行。
默认状态下,允许任何人有权远程调用。这使得多数 COM 客户情境(包括通常情
况
下 COM 客户将本地引用传递到远程服务器)更改为将客户转为服务器。允许未验
证
远程调用的情境可能被禁用。
此外,默认状态下,只允许管理员有远程激活和启动权限。禁止了由非管理员远程
激活安装的 COM 服务器。这禁止了由非管理员远程激活安装的COM服务器。
如何解决这些问题?
要实现 COM 服务器,并希望支持由没有管理权限的 COM 客户进行远程激活,或者
希望支持未验证的远程调用,您应考虑到是否这是最佳配置。为此,您需要更改此
项特性的默认配置。
在以下位置将这些 ACL 存入注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\ MachineAccessRestriction=
ACL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\ MachineLaunchRestriction=
ACL
这是为REG_BINARY 类型设置的命名值,该类型包含了描述主体下的 ACL 访问控制
列表的数据,主体可在计算机中访问任何 COM 类或 COM 对象。ACL 中的访问权限
是:
COM_RIGHTS_EXECUTE 1
COM_RIGHTS_EXECUTE_LOCAL 2
COM_RIGHTS_EXECUTE_REMOTE 4
COM_RIGHTS_ACTIVATE_LOCAL 8
COM_RIGHTS_ACTIVATE_REMOTE 16
这些 ACL 可以使用普通安全功能创建。请注意,COM_RIGHTS_EXECUTE权限必须始
终
存在,因为没有该权限会产生无效的安全描述符。
只有具备管理员权限的用户才能修改这些设置。
Windows XP Service Pack 2 中修改了哪些现有功能?
更多的特殊 COM 权限
详细描述
COM 服务器应用程序两种权限类型,启动权限和访问权限。如果服务器还没运行,
启动权限控制授权在 COM 激活过程中启动 COM 服务器。这些权限被定义为在注册
表设置中指定的安全描述符。访问权限控制授权调用一台正在运行的 COM 服务器
。
这些权限被定义为安全描述符,安全描述符通过 CoInitializeSecurity API 或使
用注册表设置提供给 COM 结构。启动权限和访问权限同时允许或拒绝基于主名的
访
问,对于服务器,它们不区分调用方是本地的还是远程的。
另一项修改以距离区分 COM 访问权限。距离分为本地和远程两种。本地 COM 消息
经由本地远程程序调用 (LRPC) 协议传递,远程 COM 消息经由类似传输控制协
议
(TCP)的远程程序调用(RPC)主机协议传递。
COM 激活是一种通过调用CoCreateInstance或其中一个参数在客户上获取 COM 接
口
代理的操作。受该激活过程的负面影响,有时必须启动 COM 服务器以满足客户要
求
。启动权限 ACL 声明谁被允许启动 COM 服务器。访问权限ACL声明一旦 COM 服务
器运行后谁被允许激活 COM 对象或调用该对象。
另一变更是,调用和激活权限分别反映两个不同的操作,并将激活权限从访问权限
ACL 移动到启动权限 ACL。因为激活和启动都与获取接口指针有关,所以激活和
启
动权限理论上属于同一 ACL。因为总是通过配置指定启动权限(相对于经常通过程
序指定的访问权限而言),所以将激活权限放入启动权限 ACL,使得管理员能够通
过激活来控制。
启动权限 ACE 分为四种访问权限:
启动权限 ACE 分为四种访问权限:
? 本地启动(LL)
? 远程启动(RL)
? 本地激活(LA)
? 远程激活(RA)
访问权限安全描述符分为两种访问权限:
? 本地调用(LC)
? 远程调用(RC)
该 COM 安全允许管理员应用非常特殊的安全配置。例如,在只接受来自管理员的
远
程调用时,同时可以配置 COM 服务器使其接受来自任何人的本地调用。这些区别
可
以通过更改 COM 权限安全描述符来指定。
为什么此项修改是重要的?它有助于缓解哪些威胁?
早期版本的 COM 服务器应用程序没有办法限制应用程序,因此为避免通过 DCOM
在
网络上暴露应用程序,应用程序只能在本地使用。当用户有权访问 COM 服务器应
用
程序时,他们就有权在本地和远程都进行访问。
要实现 COM 回调情境,COM 服务器应用程序可能需要将自身暴露给未验证身份的
用
户。在此情境中,应用程序必须将激活也暴露给未验证身份的用户,这样做可能不
可取,因为未验证身份的用户可能利用该情境对服务器进行未验证的访问。
确切的 COM 权限可以使管理员灵活控制计算机的 COM 权限策略。这些权限給介绍
的情境带来了安全。
工作方式有何不同?会停止工作吗?存在依赖性吗
要提供向后兼容性,需对现有的 COM 安全描述符进行解释,以便同时都允许或拒
绝
本地和远程访问。即,访问控制项目(ACE)或都允许本地和远程,或都拒绝允许
本
地和远程。
对于调用或启动权限,不存在向后兼容性问题。但是,有一个激活权限兼容性问题
。如果,在 COM 服务器的现有安全描述符中,配置的启动权限比访问权限更具有
限
制性,比客户激活情境所需的最低要求更具限制性,必须更改启动权限 ACL,给授
权的客户以相应的权限。
对于使用默认安全设置的 COM 应用程序,不存在兼容性问题。 对于使用 COM 激
活
动态启动的应用程序,多数不存在兼容性问题,因为启动权限早已包括能激活对象
的其他用户。如果这些权限没有正确配置,当没有启动权限的调用方在 COM 服务
器
没有运行时试图激活对象时,随机激活可能会失败。
兼容性问题涉及到最多的应用程序是已经通过某些其它机制激活的 COM 应用程序
,
如Windows Explorer或服务控制管理器。也可以通过预先激活COM 来启动这些应用
程序, 预先激活 COM 覆盖 默认访问和启动权限,并指定比调用权限更具限制性
的
启动权限。有关处理这种兼容性问题的更多详细信息,请参阅下一节中的“如何解
决这些问题?”。
如果已升级到 Windows XP Service Pack 2 的系统退回到早期版本的服务包,已
被
编辑为允许本地访问、远程访问或两者均可的任何访问控制项目 ,将被解释为均
允
许本地和远程访问。任何被编辑为拒绝本地访问、远程访问或两者均不可的访问控
制项目 ,将被解释为均拒绝本地和远程访问。无论何时卸载服务包时,应确保所
有
ACE 已检查。
如何解决这些问题?
要实现 COM 服务器并且覆盖默认安全设置,确认特殊应用程序启动权限 ACL 同意
将激活权限给予相关的用户。如果没有,您需要更改特殊应用程序启动权限 ACL
将
激活权限给予相关的用户,以便应用程序和 Windows 组件可以使用 DCOM 。这些
特
殊应用程序启动权限存储在注册表中。要获取有关启动权限的详细信息,请参阅“
LaunchPermission”,位于 MSDN Web站点 http://go.microsoft.
com/fwlink/?Li
nkId=20924 [英文]。
使用普通安全功能可以创建或修改COM ACL。
Windows XP Service Pack 2 添加或修改了哪些设置?
警告 不正确地使用这些设置会导致应用程序和 Windows 组件不能使用 DCOM。
设置名称 位置 先前默认值(如果可用) 默认值 可能值
MachineLaunch
限制
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft\Ole\
Everyone = LL,LA,RL,RA
匿名 =
LL,LA,RL,RA
(这是一个新的注册表键。基于现有动作时,这些是有效值。)
管理员 = LL,LA,RL,RA Everyone = LL,LA
ACL
MachineAccess
MachineAccess
限制
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft\Ole\
Everyone = LC, RC
匿名 = LC, RC
(这是一个新的注册表项。基于现有动作时,这些是有效值。)
Everyone = 本地,远程。
匿名 = 本地
ACL
CallFailure
LoggingLevel
LoggingLevel
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft\Ole\
不可用。
这个注册表键不存在,虽然丢失的键/值解释为 2
默认不记录该事件。如果将此值更改为 1 以记录此信息帮助您解决问题,务必监
视
事件日志的大小,因为这这一事件会产生大量项目。
1
(在 COM Server 进程中进行调用的过程中,总是记录失败事件)2
(在 COM Server 进程中进行调用的过程中,从不记录失败事件)
InvalidSecurity
描述符
LoggingLevel
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft\Ole\
不可用。
这个注册表键不存在,虽然丢失的键/值解释为 1
默认记录该事件。该事件应该很少发生。
1
(COM 基础结构发现无效安全描述符号时,总是记录失败事件)
2
(COM 基础结构发现无效安全描述符号时,从不记录失败事件)
DCOM:安全描述符定义语言(SDDL)语法中的 MachineLaunch 限制
(组策略对象)计算机配置\Windows 设置\本地策略\安全选项
不可用。
未定义
SDDL 格式的访问控制列表。本策略的存在、覆盖、在上面提及的注册表键中的值
MachineLaunch
限制
DCOM:安全描述符定义语言(SDDL)语法中的 MachineAccess 限制
(组策略对象)计算机配置\Windows 设置\本地策略\安全选项
不可用。
未定义
SDDL 格式的访问控制列表。本策略的存在、覆盖、在上面提及的注册表键中的值
MachineAccess
限制
返回页首
RPC 接口限制
RPC 接口限制有何作用?
Windows XP Service Pack 2 的远程程序调用(RPC)服务有一些修改,Windows
X
P Service Pack 2 使得 RPC 接口默认为安全并减少了 Windows XP 的攻击表面。
最大的修改是新增了RestrictRemoteClients注册表键。该键修改系统上所有
RPC
接口的行为,并默认禁止远程匿名访问系统上的 RPC 接口,除了某些例外。 新增
的修改包括EnableAuthEpResolution注册表键和三个新的接口注册标志。
此特性适用于哪些用户?
此项特性适用于 RPC 应用程序开发人员。系统管理员也应熟悉 RPC 的此项修改。
Windows XP Service Pack 2 中的本项特性添加了什么新功能?
RestrictRemoteClients 注册表项
详细描述
使用RpcServerRegisterIf注册接口时,RPC 允许服务器应用程序通过安全回调限
制
对接口的访问。RestrictRemoteClients注册表键强制 RPC 对所有的接口执行附加
安全检查,即使接口没有注册安全回调。
使用命名管道协议序列(ncacn_np)的 RPC 客户不在本节讨论的限制之列。由于
有
几个重要的向后兼容性问题,默认状态下,不能限制命名管道协议序列。
RestrictRemoteClients注册表键可以有下述三个值。如果该项不存在,则相当于
存
在RPC_RESTRICT_REMOTE_CLIENT_DEFAULT值。
? RPC_RESTRICT_REMOTE_CLIENT_NONE (0)值导致系统跳过新的 RPC 接口限制。
服务器应用程序的全部责任是加强适当的 RPC 限制。该设置与 Windows 早期版本
中的行为相同。
? RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1)值是 Windows XP Service Pack
2
中的默认值。该值限制对所有 RPC 接口的访问。RPC 运行时拒绝所有远程匿名调
用。 如果接口注册了安全回调并提供 RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH标
志
,那么此限制不适用于该接口。
? RPC_RESTRICT_REMOTE_CLIENT_HIGH (2)值与
RPC_RESTRICT_REMOTE_CLIENT_DE
FAULT值相同,除了RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH标志不再免除一个接口
。如果使用该值,系统不能接收使用 RPC 的远程匿名调用。
为什么此项修改是重要的?它有助于缓解哪些威胁?
如果您要求调用执行身份验证,攻击接口就会非常困难,即使只是相对低级别的身
份
验证。对于阻止那些通过匿名连接远程利用缓冲区溢出的蠕虫,执行身份验证特别
有用。
工作方式有何不同?会停止工作吗?
如果您希望 RPC 应用程序接收来自远程匿名 RPC 客户的调用,此修改可能不允许
RPC 应用程序正常运行。
如何解决这些问题?
有 3 种解决问题的选项。这些选项按优先顺序依次列出。
? RPC 客户联系您的服务器应用程序时,要求其使用 RPC 安全性。这是减少安全
威
胁的最好方法。
? 在接口注册过程中设置RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH标志,可禁止接
口
要求身份验证。从而让 RPC 允许到应用程序接口的匿名连接。
? 设置RPC_RESTRICT_REMOTE_CLIENT_NONE (0)注册表键,可强制使 RPC 表现出
和 Windows 早期版本一样的行为。RPC 将接受对所有接口的匿名连接。此选项应
尽
量避免,因为它降低了计算机的整体安全性。
EnableAuthEpResolution 注册表键
详细描述
可远程匿名访问并默认在 Windows XP 中注册的 RPC 接口, 暴露了一个重大的攻
击表面。RPC 本身必须注册一个这样的接口,以给使用动态终结点的调用提供终结
点解析度。
添加RestrictRemoteClients标志后,默认状态下,RPC 终结点映射器 接口不能匿
名访问。这是一个重大的安全提高,但是这更改了解析终结点的作业。当前,想使
用动态终结点进行调用的RPC 客户将首先查询服务器上的 RPC 终结点映射器以确
定
该连接哪个终结点。可以匿名查询,即使 RPC 客户使用 RPC 安全调用其本身。
由于新RestrictRemoteClients键默认值的缘故,Windows XP Service Pack 2 中
在
默认状态下匿名调用RPC终结点映射器接口将失败。这使得修改 RPC 客户运行时间
以便对终结点映射器执行被验证的查询成为必要。如果已设置
EnableAuthEpResolu
tion键,RPC 客户运行时间将使用 NTLM 验证终结点映射器。如果实际 RPC 客户
调
用使用 RPC 验证,才会要求被验证的查询。
为什么此项修改是重要的?
此项修改用来使 RPC 客户调用已在运行 Windows XP Service Pack 2 的系统上注
册了动态终结点映射器的 RPC 服务。客户计算机必须设置该注册表键,以便其对
终
结点映射器执行被验证的查询。
工作方式有何不同?会停止工作吗?
该注册表键用于启用上节介绍的特殊情境。打开此键后,使用 NTLM 身份验证执行
为被验证的调用而执行的所有 RPC 终结点映射器查询。
新的 RPC 接口注册标志
详细描述
创建了三种新的界面注册标志,使应用程序开发人员更易于保护 RPC 接口。
RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH
注册该标志后,RPC 运行时间为所有调用都调出注册的安全回调,而不管调用安全
设置。没有该标志时,RPC 在得到安全回调前拒绝所有未验证的调用。只有注册安
全回调后该标志才起作用。
RPC_IF_SEC_NO_CACHE
接口注册安全回调目的是为了限制对该接口的访问。典型的安全回调模拟客户以确
定客户是否有足够的权限对接口进行调用。如果特定客户标识 一旦通过安全回调
,
通常每次都通过相同的安全回调。
通过记住何时一个单个客户标识通过安全回调并跳过该客户对同一接口后续调用的
安全回调,RPC 运行时间给此模式带来了好处。此特性称为安全回调缓存,从
Wind
ows 2000开始就已存在。对于Windows XP Service Pack 2,您可以使用
RPC_IF_S
EC_NO_CACHE标志对一个特定的接口禁用安全回调缓存。因安全检查更改而可能拒
绝
先前允许的客户标志时,此特性非常有用。
RPC_IF_LOCAL_ONLY
使用此标志注册接口后, RPC 拒绝远程 RPC 客户的调用。另外,通过所有
ncadg_
*协议序列和所有ncacn_*协议序列(命名管道除外,使用ncacn_np)的远程调用也
被拒绝。如果ncacn_np发出调用,SVR 筛选出所有远程调用,RPC 只允许不是来自
SVR 的调用。Ncalrpc调用总是被允许通过。
为什么此项修改是重要的?
此项修改给 RPC 应用程序开发人员提供了额外安全工具帮助保护他们的 RPC 接口
。
工作方式有何不同?会停止工作吗?
这些标志不会修改任何现有的 Windows XP 应用程序或导致其无法正常运行。 程
序
开发人员可随意使用这些新的标志。
Windows XP Service Pack 2 添加或修改了哪些设置?
设置名称 位置 默认值 可能值
RestrictRemoteClients
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\ Microsoft\Windows?NT\RPC
1 - 默认
0 – 无
1 – 默认
2 – 高
EnableAuthEpResolution
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies \Microsoft\Windows?NT\RPC
0 - 禁用
0 – 禁用
1 – 启用
为了能够在 Windows XP Service Pack 2 下使用,我需要修改代码吗?
使用 Windows XP Service Pack 2 时可能需要修改代码。有关哪些应用程序需要
修
改代码的详细消息,请参阅先前章节RestrictRemoteClients和
EnableAuthEpResol
ution。
返回页首
WebDAV Redirector(WebDAV 转发程序)
WebDAV Redirector 有何作用?
WebDAV Redirector(DAVRdr)允许运行 Windows XP 的计算机使用 WebDAV(
Web
的分布式创作和版本控制)服务,如被看做是标准文件服务的 Windows
SharePoin
t Services 和 MSN Communities。DAVRdr 由连接 Windows NT 远程文件系统堆栈
的核心组件和将文件系统请求转变为 WebDAV 请求的用户级组件(Web 客户服务)
构成。
此特性适用于哪些用户?
此项特性用于通过远程文件系统访问 WebDAV 服务的用户。WebDAV Redirector 在
远程文件系统堆栈中实现。客户管理员和关心计算机凭证安全的用户,需要注意通
过通用命名约定(UNC)(例如, \\ServerName\ShareName\File.txt)对
WebDAV
服务上远程文件的每次访问将会由 WebDAV Redirector 来处理。
通过明文隧道禁用基本验证(Basic Authentication)
详细描述
WebDAV 是超文本传输协议(HTTP)的扩展,如包括使用 基本验证(BasicAuth)
。
BasicAuth是用户身份验证的一种形式,也就是说通过 BasicAuth,服务安全地识
别用户。使用 BasicAuth,客户将用户的凭据(用户名和密码)传输到服务。如果
通道未加密,如使用普通HTTP传输,网络上的任何计算机均可看见用户的用户名和
密码,从而窃取他们的标识。DAVRdr 不支持加密 HTTP(HTTPS 或 SSL),即使服
务支持基本验证,它也会以明文方式传输用户的凭据(即不加密)。虽然服务多数
情况下不会被配置为使用基本验证,但有可能可将服务特别设置为获取用户的凭据
。
因为这种可能性,Windows XP Service Pack 2 (SP)增加了按照 DAVRdr 来启用
或禁用 BasicAuth 的能力。默认状态下, SP2 禁用 BasicAuth。BasicAuth 被禁
用时,客户会使用另一种验证方法(如果服务器支持)或放弃请求。
为什么此项修改是重要的?
用户可以登录到 WebDAV 服务访问程文件而不用担心以明文方式传输他们的密码。
它有助于缓解哪些威胁?
假设 Contoso 公司的企业用户在公司外的公共网络上例行访问文件共享
\\Contos
o_Server\Sales ,并使用试图访问部分正常背景激活的共享的应用程序。因为用
户
的便携式计算机在企业网络外,请求肯定失败。但是, DAVRdr会传输一个请求来
查
看是否有一台名为 Contoso_Server 的DAV服务器, 即使便携式计算机要访问的服
务器实际上是一台 SMB 服务器。
攻击者可以在同一公共网络上将计算机指针指向其本身响应任何WINS请求,操作该
计算机欺骗 WINS 请求。便携式计算机就会尝试访问无赖服务器上的DAV共享。如
果
无赖服务器以基本验证作为验证方式响应,出现一个对话框询问用户的凭据。 对
话
框确认该服务器为 Contoso_Server,使得用户相信该请求是合法的。如果用户输
入
用户名和密码,客户以明文方式传输信息,于是攻击者获取该用户的登录信息。没
有信息提示用户通道是不安全的,请求是由 DAVRdr 处理,或便携式计算机将以明
文传输用户名和密码。请注意当前默认窗口验证方式不会以明文方式传输传输用户
的密码。
工作方式有何不同?会停止工作吗?
因为对默认行为的修改只影响 DAVRdr, 失败的情境只是那些要求基本验证的情境
和使用 DAVRdr 的情境。例如,使用 Notepad.exe 访问只允许 BasicAuth 的
Web
站点。该情境将停止工作。其他应用程序如 Office 将继续工作,即使服务器配
置
为只使用基本验证,因为它们使用一个不同的 DAV 客户。
如何解决这些问题?
可通过添加以下注册表键并将它设置为一个非零值,可以启用 BasicAuth(基本验
证):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\WebClient\Paramete
rs\UseBasicAuth (DWORD)
如果删除注册表键或将它设置为 0,行为回复到默认状态,或禁止使用
BasicAuth
。
WININET:通过明文隧道禁用基本验证
详细描述
因为 DAVRdr 是远程文件系统堆栈的一个部分,无论何时企图远程访问文件,计算
机都暴露于受攻击中。虽然使用 Internet API 的其他应用程序受到的威胁小于
D
avRDR,一旦应用程序(或用户)要访问一个 URL,类似的攻击就可能发生。针对
于
此,WinInet 引入了机制,在该机制下,DAVRdr 禁用其他 Internet API 用户的
BasicAuth。
在Windows XP Service Pack 2 中,有两种方法可以对明文通道(未加密)禁用基
本验证:
1.
1.
添加以下注册表键并将它设置为一个非零值。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\ Internet
S
ettings\DisableBasicOverClearChannel (DWORD)
这能防止 WININET使用 BasicAuth,除非通道是安全的(HTTPS或SSL)。
2.
通过将 AUTH_FLAG_DISABLE_BASIC_CLEARCHANNEL flag (0x4)设置为使用
INTE
RNET_OPTION_AUTH_FLAGS调用InternetSetOption所提供的值,应用程序可以禁止
在
连接时使用 BasicAuth。
为什么此项修改是重要的?
用户可以登录到 WebDAV 服务器获访问程文件而不用担心以明文方式传输用户的密
码。
它有助于缓解哪些威胁?
假设企业用户访问 Web站点 http://www.contoso.com/sales。在公司外的公共网
络
上,用户使用 Internet Explorer 要访问该站点。 因为便携式计算机在公司外部
,将出现信息“没有找到服务器”,请求失败。攻击者可以在同一个公共网络上将
计算机指针指向其本身响应任何WINS查询,运行该计算机欺骗 WINS 请求。便携式
计算机就会试图发送 HTTP 请求从无赖服务器加载网页。如果无赖服务器以验证方
式响应 BasicAuth,便携式计算机作出反应询问用户的密码或凭据。确认站点
htt
p://www.contoso.com/sales,引导用户相信该申请是合法的。如果用户输入用户
名
和密码,客户会以明文方式传输信息,于是攻击者获取该用户的登录信息。特别是
,没有信息提示用户通道是不安全的,或提示将以明文方式传输用户名和密码。
工作方式有何不同?会停止工作吗?
默认状态下,WININET 应用程序的行为没有修改(上述提到的 DAVRdr 除外)。如
果此设置禁用,用户不能连接到只支持基本验证的 HTTP 服务器。
Windows XP Service Pack 2 添加或修改了哪些设置?
设置名称 位置 先前默认值(如果可用) 默认值 可能值
UseBasicAuth
HKEY_LOCAL_MACHINE \System \CurrentControlSet \Services \WebClient
\Par
ameters \UseBasicAuth
不可用。
键不存在
(BasicAuth 因为 DAVRdr 被禁用)
0、非零
DisableBasic
OverClearChannel
HKCU\SOFTWARE \Microsoft \Windows \CurrentVersion \Internet Settings
\D
isableBasicOverClearChannel
不可用。
键不存在(因为其他原因启用 BasicAuth)
0,非零
为了能够在 Windows XP Service Pack 2 下使用,我需要修改代码吗?
无须修改。使用 Internet API 编写应用程序和要禁用 BasicAuth(如DavRDR)的
开发人员,可以增加调用InternetSetOptions()。
返回页首
Windows 防火墙
Windows 防火墙有何作用?
Windows 防火墙(以前称为 Internet 连接防火墙或 ICF)是基于软件的状态筛选
防火墙,用于 Microsoft Windows XP 和 Microsoft Windows Server 2003。
Wind
ows 防火墙 阻止非请求入站连接,从而保护通过 TCP/IP 版本4 (IPv4) 和
TCP/
ows 防火墙 阻止非请求入站连接,从而保护通过 TCP/IP 版本4 (IPv4) 和
TCP/
IP 版本 6 (IPv6)连接到网络的PCs。配置选项包括:
? 按照接口加以启用
? 使用静态端口打开
? 配置基本 ICMP 选项
? 记录丢失的数据包和成功连接
有关 IPv4 Windows 防火墙 的详细信息,请参阅 Microsoft Web 站点上的 “
Int
ernet 连接防火墙功能概述”: http://go.microsoft.
com/fwlink/?LinkId=2092
7 [英文]。支持 IPv6 传输筛选已被添加到 Windows XP 使用的 Advanced
Networ
king Pack 的 IPv6 Windows 防火墙 中。通过 Microsoft Web 站点 http://go.
m
icrosoft.com/fwlink/?linkid=18539 [英文]上的 Windows Update 可获得
Advan
ced Networking Pack。
此特性适用于哪些用户?
此项功能适用范围
? 所有连接到网络的计算机
? 所有在网络上侦听的应用程序和服务
? 所有无法使用状态筛选的应用程序
Windows XP Service Pack 2 中的本项特性添加了什么新功能?
On-by-Default(默认打开)
详细描述
默认状态下,Windows 防火墙启用于所有网络接口。此提供了默认状态的更多的网
络保护对新安装和升级的 Windows XP 在默认状态下获得了更多的网络保护。
On-b
y-Default 也保护系统上添加的新的网络连接。此功能对于 IPv4 和 IPv6 传输都
适用,即使系统中有另一防火墙已在运行此功能也启用。
为什么此项修改是重要的?它有助于缓解哪些威胁?
在 Windows XP Service Pack 2 之前,Windows XP 所带的 Windows 防火墙默认
为
禁用。用户需要通过 “网络连接”文件夹运行向导或通过手动操作启用
Windows
防火墙。对于许多用户来说,这一过程难度太大,导致许多计算机中没有任何防火
墙保护。
通过默认启用 Windows 防火墙,更能保护计算机避免许多基于网络的攻击。例如
,
如果默认启用 Windows 防火墙。最近 MSBlaster(冲击波)的攻击将大大降低,
无
论用户是否已打上补丁。
工作方式有何不同?会停止工作吗?
安装 Windows XP Service Pack 2 后,将默认启用 Windows 防火墙。如果应用程
序默认不能状态筛选一起工作,启用 Windows 防火墙后可能会使应用程序不兼容
。
Windows 防火墙也可能与其他运行的软件和硬件防火墙发生冲突。
如何解决这些问题?
本文档后面部分 “为了能够在 Windows XP Service Pack 2 下使用,我需要修改
代码吗?” 中,详细描述了如何修改应用程序,以便其和状态筛选防火墙一起工
作
启动时的安全性
详细描述
在 Windows 的早期版本中,在网络堆栈运行和 Windows 防火墙 提供保护之间有
一
个时间间隔。这使得数据包可以在缺少防火墙保护的情况下进行接收和发送,使计
算机暴露在潜在攻击之下。这是由于在加载防火墙服务并应用相应策略之前,防火
墙驱动程序没有启动筛选。防火墙服务存在许多相关性,在将策略引入驱动程序之
前,服务必须等待,知道这些相关性已经被清除。这个时间段取决于计算机的运行
速度。
在 Windows XP Service Pack 2 中,防火墙驱动程序有一个静态规则来执行状态
筛
选。这个静态规则称为启动时 策略。这允许计算机执行基本网络任务,如 DNS 和
DHCP 以及与域控制器通信获取策略。一旦防火墙服务运行,就加载和应用
run-t
ime 策略,并删除启动时筛选,不能配置启动时策略。
如果禁用 Windows 防火墙,则不能在启动时获得安全性。
为什么此项修改是重要的?它有助于缓解哪些威胁?
进行此项修改后,在启动和关闭过程中计算机受到的攻击减少了。
工作方式有何不同?会停止工作吗?
如果 Windows 防火墙 服务启动失败,启动时 安全性依然有效。这意味着所有连
接
被阻断。在这种情况下,管理员将不能远程解决这个问题,因为所有端口都阻断了
,包括远程桌面使用的端口。
如何解决这些问题?
使用远程桌面(Remote Desktop)以外的方法启动 Windows 防火墙服务。
全局配置
详细描述
在 Windows 的早期版本中, Windows 防火墙 基于每个接口而配置。这意味这每
个
网络连接都有自己的防火墙策略。例如,一个策略用于无线,另一个策略用于 以
太
网。所以很难同步连接间的策略。另外,新的连接将无法获得已应用于现有连接的
配置修改。
使用全局配置后,无论什么时候发生配置修改, 都应用于所有网络连接。新的连
接
创建后,配置也应用到它们。配置依旧可以基于每个接口执行。非标准网络连接只
具有全局配置。配置修改也都适用于 IPv4 和 IPv6。
此项新特性适用于 IPv4 Windows 防火墙,IPv6 Windows 防火墙 早已支持全局配
置。
为什么此项修改是重要的?
使用全局配置使得用户更易于管理跨所有网络连接的防火墙策略。也允许您使用单
一配置选项在任何接口上使用应用程序。
工作方式有何不同?会停止工作吗?
在 Windows 的早期版本中, Windows 防火墙 基于每个接口而配置。Windows
XP
Service Pack 2 中,配置是全局的,并且都适用于 IPv4 和 IPv6。
如何解决这些问题?
如果您的应用程序或服务需要静态开放才能运行,你应该使用新的 API,详见后面
部分“为了能够在 Windows XP Service Pack 2 下使用,我需要修改代码吗?”
中
的描述。
本地子网限制
详细描述
默认状态下,端口已开启时,它是全局打开——可以从任何网络位置传入通信 ,
如
本地网络或 Internet。在 Windows XP Service Pack 2 中,可以将端口配置为只
接收源地址来自本地子网的网络通信。
使用 NetShare 应用程序编程接口(API)、Network Setup Wizard 或通过
Windo
ws 防火墙 用户界面打开文件共享接口后,在默认状态下将应用本地子网限制。另
外,UPnP 端口打开后,它们限制用于本地子网。
Microsoft 推荐将本地子网限制应用于用来在本地子网上通信的静态端口 。可以
通
过程序、Windows 防火墙 Netsh Helper 或 Windows 防火墙 用户界面来完成。
本地子网限制适用于IPv4端口配置。IPv6 端口配置不需要支持此限制,因为
IPv6
通过使用链路本地地址和站点本地地址本来就限制了本地子网端口。
为什么此项修改是重要的?它有助于缓解哪些威胁?
某些应用程序只需要和本地网络上其他主机对话,而不是 Internet 上的主机。允
许端口只接收限制访问端口范围的本地子网的通信。 减少了由于端口向连接其他
位
置的计算机开放而导致的攻击。
工作方式有何不同?会停止工作吗?
启用文件和打印机共享时,以下四个端口特别受本地子网限制的影响,只接收来自
本地子网的通信。
? UDP 端口 137
? UDP 端口 138
? TCP 端口 139
? TCP 端口 445
如果应用程序或服务也使用这些端口,那么只能够和本地子网上的其他节点通信。
启用 UPnP 结构时,两个端口特别受本地子网限制的影响,只接收来自本地子网的
通信:
? UDP 端口 1900
? TCP 端口 2869
如何解决这些问题?
如果应用程序或服务不能在这种限制下工作,应使用新的 API 打开全局连接的端
口
,详见本文档后面部分“为了能够在 Windows XP Service Pack 2 下使用,我需
要
修改代码吗?” 中的描述。
命令行支持
详细描述
在 Advanced Networking Pack 中,Windows 防火墙 Netsh Helper 被添加到
Win
dows XP。Helper 只适用于 IPv6 Windows 防火墙。安装 Windows XP Service
Pa
ck 2 后,Helper 结构发生修改并且扩充到包括也支持配置 IPv4。使用 Netsh
He
lper,您可以:
? 配置 Windows 防火墙的默认状态(关闭、打开、On with no exceptions)
? 配置打开哪些端口,包括端口是否允许完全访问或限于本地子网访问,和端口是
否向所有接口或单一接口打开。
? 配置日志选项
? 配置 Internet 控制消息协议(ICMP)处理选项
? 从例外列表添加或删除应用程序
此选项于对 Windows 防火墙和 IPv6 Windows 防火墙 都适用,特定用于
Windows
防火墙 的功能除外。
为什么此项修改是重要的?
提供的命令行界面可以使管理员无须通过图形用户界面就能配置 Windows 防火墙
。
命令行界面可以用于登录脚本和远程管理。
工作方式有何不同?会停止工作吗?
此项特性可以灵活地将配置添加到 Windows 防火墙。添加后,Windows 防火墙的
功
能不会发生修改。
?“On with no exceptions” (没有特例的开启状态)运行模式
详细描述
Windows 防火墙 可能被配置为在正常使用过程中允许非请求的传入通信。这一般
应
归于需要启用键配置,如文件和打印机共享。如果在一台或多台侦听设备或计算机
上运行的应用程序中发现安全问题,。可能需要将计算机切换到client-only(仅
客
户端)模式,称为 “On with no exceptions”。 切换到此 client-only 模式可
以配置后可以让 Windows 防火墙阻止非请求的入站通信,而不必重新配置防火墙
,
。
在这种模式下时,所有静态漏洞都被关闭,任何现有的连接都被中断。允许任何
A
PI 调用打开静态漏洞并存储配置,但只有运行模式返回到普通运行模式,才能应
用
该配置。同时也忽略各应用程序发出的侦听申请。
此模式于对Windows 防火墙 v4 和 IPv6 Windows 防火墙都适用。
为什么此项修改是重要的?它有助于缓解哪些威胁?
病毒、蠕虫和攻击者都在寻找服务以便入侵。在这种运行模式下, Windows 防火
墙
有助于阻止这些攻击。
工作方式有何不同?会停止工作吗?
在这种运行模式下, 计算机不能侦听来自网络的申请。传出连接是唯一成功的连
接
。
如何解决这些问题?
在这种运行模式下,某些功能会因严格的网络安全而失效。将运行模式返回到 “
打
开” —— 即返回默认状态,可以恢复这些功能。用户应该在识别并消除威胁后才
能执行此操作,因为执行此操作会降低计算机的安全。
Windows 防火墙例外列表
详细描述
某些应用程序既作为网络客户又能作为服务器运行。作为服务器运行时,需要允许
传入非请求入站通信,因为它们不知道哪台对等机器会提前。
在 Windows 的早期版本中,应用程序需要调用防火墙 API 来打开需要的侦听端口
。端口预先未知时,在点对点的状况下是难以执行此操作的。一旦通信完毕,由应
用程序再次关闭端口。不这样执行,如果应用程序以外终止,防火墙中就会有多余
的打开的端口。
另外,如果程序运行在本地管理员的安全上下文中,这些端口才会被打开。如果要
求应用程序运行在管理员的安全上下文中,而不是以所需的最小权限运行,这就违
反了最小特权原则。
在 Windows XP Service Pack 2 中,需要侦听网络的应用程序可以被添加到
Wind
ows 防火墙 例外列表。如果一个应用程序在 Windows 防火墙例外列表上,
Windo
ws 忽略该应用程序的安全上下文,自动打开需要的端口。有关添加应用程序到
Wi
ndows 防火墙 例外列表的更多消息,请参阅本文档后面部分“如何解决这些问题
?
” 。
能和状态筛选一起运行的应用程序,不需要列在 Windows 防火墙 例外列表中。只
有管理员才能将应用程序添加到 Windows 防火墙 例外列表。
为什么此项修改是重要的?它有助于缓解哪些威胁?
当一个应用程序在 Windows 防火墙 例外列表中时,只有必需的端口才被打开,并
且只在应用程序侦听那些端口期间打开。应用程序不能打开该程序没有使用的端口
,否则可能有意无意地将另一应用程序或服务暴露给该端口的网络通信。
此项修改也允许侦听网络的应用程序作为一般用户运行。在 Windows 的早期版本
中
,用户必须以管理员权限运行这些应用程序。
工作方式有何不同?会停止工作吗?
如果应用程序需要侦听网络,就必须列在 Windows 防火墙例外列表中。如果没有
列
出,Windows 防火墙 中必需的端口不打开,应用程序就不能接收非请求的入站通
信
。
如何解决这些问题?
有三种方法可以将应用程序在 Windows 防火墙 例外列表中。
首先,可以通过编程由应用程序进行添加。 Microsoft 建议在安装过程中独立软
件
厂商(ISV)将他们的应用程序在 Windows 防火墙例外列表中。
其次,您可以使用通知。应用程序对特殊端口执行 TCP 侦听或 UDP 绑定时,网络
堆栈将应用程序名称和端口传递到到 Windows 防火墙。 Windows 防火墙 将在例
外
列表中查询应用程序名称。如果应用程序在例外列表中并已启用,那么相应的端口
将会在防火墙中打开。如果应用程序没有在例外列表中,那么询问用户做出一个选
择。如果用户是管理员,就可以允许应用程序侦听网络(以启用列入例外列表,端
口打开),不允许应用程序应用程序在网络上侦听(以禁止列入例外列表,端口不
打开)或以后再询问 (不列入例外列表,端口不打开)。如果用户不是管理员,
将
不通知他们应用程序不允许侦听网络和只有使用管理员权限才能启用应用程序。在
这种情况下, 应用程序应禁止列入例外列表。
第三,用户可以手动配置应用程序。用户可通过从开始菜单的应用程序表上的子列
表选择应用程序,或通过在计算机硬盘上浏览应用程序,来手动启动应用程序。
有关更多信息,请参阅本节后面部分“Windows XP Service Pack 2 时需要修改代
码吗?”
多配置文件
详细描述
Windows 防火墙 中支持的多个配置文件(Multiple Profiles) 允许您创建两套
防
火墙策略:一套用于计算机连接企业网络时,一套用于计算机没有连接企业网络时
。您可以创建较为宽松的安全策略,以便计算机连接企业网络时启用业务应用程序
。也可以创建强制执行的主动型安全策略,以便计算机离开企业网络时免受网络攻
击的危害。
防火墙的多配置文件只适用于连接域的计算机。同一工作组的计算机只有一个配置
文件。
为什么此项修改是重要的?它有助于缓解哪些威胁?
对于一台便携式计算机,配置多个防火墙很管用。通常,在托管网络上安全运行的
配置在 Internet 上很可能易受攻击。因此,要确保在特定的时间只暴露必要的端
口,关键是使端口在托管网络上而不是 Internet 上打开。
工作方式有何不同?会停止工作吗?
如果一个应用程序为了正常工作需要在列在 Windows 防火墙例外列表上,可能不
能
在配置文件策略可能不一样的两个网络上工作。要使应用程序能在这些网络上工作
,必须在两个配置文件中都列出该应用程序(有关 Windows 防火墙例外列表的更
多
消息,请参阅以前章节)。
如何解决这些问题?
如果计算机已经连接到一个域,您必须确保在两个防火墙配置中都列出该应用程序
。
RPC 支持
详细描述
在 Windows 的早期版本中, Windows 防火墙阻止远程过程调用(RPC)通信 。如
果 Windows 防火墙 被配置为允许 RPC 终结点映射器的网络通信,如果 RPC 使用
的端口未知,应用程序可能仍然会失败。
如果 RPC不允许在网络上通信,许多企业应用程序和组件将失败。包括但不限于以
下例子:
? 文件和共享打印
? 远程管理(例如 “计算机管理” 特性和 “选择用户” )、计算机、和许多应
用程序使用的“组”对话框
? 远程 Windows 管理规范(WMI)配置
? 管理远程客户和服务器的脚本
RPC 打开一些服务端口,就在那些端口上暴露了许多不同的服务。因为 Windows
X
P 包括了很多 RPC 服务器,Windows 防火墙 针对不同的 RPC 采用不同的处理。
打
开一个端口时,调用程序可以要求该端口用于 RPC。 如果调用程序运行在本地系
统
、网络服务器或本地服务安全上下文,则 Windows 防火墙 将接受这个要求。
Wind
ows 防火墙 支持配置文件等级标志,即使调用程序没有在 Windows 防火墙例外列
表中列出,该标志也可以使出 RPC端口打开。
但是请注意,授权的应用程序设置总是覆盖通常的 RPC 设置。例如,如果 RPC 设
置是“允许本地”,但在本地子网只设置为 “False” 时,可执行的 RPC 服务器
也列在 Windows 防火墙权限列表中,则 RPC 服务器的端口将向所有子网打开。
为什么此项修改是重要的?它有助于缓解哪些威胁?
确保 Windows 防火墙 和 RPC一起工作用于许多企业范围内的部署。但是,不要使
每个 RPC 服务都默认暴露在网络上。通过更加精确的使用,你可以控制让哪一个
RPC 服务暴露给网络。
工作方式有何不同?会停止工作吗?
在默认状态下,RPC 不会通过 Windows 防火墙起作用。所有使用 RPC 的服务和应
用程序都受牵制。但是,Windows 防火墙可以被配置为允许 RPC 作为服务运行。
如何解决这些问题?
请参阅本文档后面部分“为了能够在 Windows XP Service Pack 2 下使用,我需
要
修改代码吗?”。S
恢复默认值
详细描述
以前,用户没有必要办法重设 Windows 防火墙的配置。随着时间的推移,现在,
通
过添加应用程序或端口到 Windows 防火墙例外列表, Windows 防火墙可以被配置
为允许非请求的传入通信。重设配置后,用户可能无法便捷地将其恢复到默认配置
。
此选项可以使用户将 Windows 防火墙设置恢复到原始值。此外,通过 OEM 和提供
自定义配置选项的 businesses 修改
自定义配置选项的 businesses 修改
为什么此项修改是重要的?
此选项允许终端用户将他们的 Windows 防火墙 设置恢复到现成可用的默认值。
工作方式有何不同?会停止工作吗?
此项特性为 Windows 防火墙增加了配置灵活性。没有修改 Windows 防火墙的任何
功能。
无人参与安装支持
详细描述
在 Windows 的早期版本中,在安装过程中不能配置Windows 防火墙。这使得
OEM
和企业 在把计算机分配给终端用户之前很难预先配置 Windows 防火墙 。在
Windo
ws XP Service Pack 2 中,您可以通过无人参与安装配置 Windows 防火墙 的以
下
选项:
? 运行模式
? Windows 防火墙例外列表中的应用程序
? 例外列表中的静态端口
? ICMP 选项
? 日志选项
为什么此项修改是重要的?
预先配置 Windows 防火墙给 Windows 经销商和大企业提供了针对 Windows 防火
墙
的更加灵活的自定义选项。
工作方式有何不同?会停止工作吗?
此项特性将配置灵活地添加到 Windows 防火墙。添加后,在 Windows 防火墙 中
不
会导致功能修改。
Windows XP Service Pack 2 中修改了哪些现有功能?
增强型多播和广播支持
详细描述
多播和广播网络通信不同于单址广播通信,因为响应来自一台未知主机。例如,状
态筛选阻止接受响应。包围流式媒体使其不能被发现,这样会使得从流媒体到发现
的各种情境停止工作。
要启用这些情境,Windows 防火墙 将允许传入多播或广播通信的相同端口上的任
何
源地址的单址广播响应3秒。
为什么此项修改是重要的?它有助于缓解哪些威胁?
这允许用户或应用程序/服务无须 更改防火墙策略,即能运行使用多播和广播进行
通信的应用程序和服务。这对于如基于 TCP/IP 的 NETBIOS 等很重要,以便不暴
露
敏感端口, 如端口135。
工作方式有何不同?会停止工作吗?存在依赖性吗
在 Windows 的早期版本中,Windows 防火墙不执行任何多播或广播筛选。在
Wind
ows XP Service Pack 1 中, Windows 防火墙 对筛选多播和广播通信进行状态筛
选,需要用户手动打开端口接收响应。在 Service Pack 2 中,允许传入对多播/
广
播通信的响应。
Windows 防火墙 和 IPv6 Windows 防火墙集成
详细描述
Windows XP 引入的 Windows 防火墙 版本只筛选 IPv4 通信。Windows XP 的
Adv
anced Networking Pack 引入了 IPv6 Windows 防火墙。当时,这两个防火墙是各
自独立的,每个防火墙都使用自己的配置选项。在 Windows XP Service Pack 2中
,Windows 防火墙和IPv6 Windows 防火墙 被合并成一个单一的组件。
通过此修改,使得任何配置更改同时适用于 IPv4 和 和 IPv6 通信。例如,当一
个
静态端口被打开时,它对 IPv4 和 IPv6 通信都开放。
为什么此项修改是重要的?
此项修改使得配置管理和应用程序兼容更为容易。
工作方式有何不同?会停止工作吗?
从系统中删除独立的 IPv6 防火墙并更换上筛选 IPv4 和 IPv6 通信的Windows 防
火墙服务。Windows XP 的 Advanced Networking Pack 引入的所有 API 被
Window
s XP Service Pack 2 引入的新 API 替代。
如何解决这些问题?
有关更多信息,请参阅本文档后面部分“为了能够在 Windows XP Service Pack
2
下使用,我需要修改代码吗?”。
更新 Netsh Helper
详细描述
Windows 防火墙 Netsh Helper 最早由 Windows XP 的 Advanced Networking
Pac
k 引入。只适用于 IPv6 Windows 防火墙。在 Windows 防火墙 和 IPv6
Windows
防火墙 集成中,防火墙 Netsh Helper 不再只有 IPv6 上下文。
为什么此项修改是重要的?
此项修改使得 Windows 防火墙 的修改和现有防火墙 Netsh Helper 的 IPv4 筛选
配置选项集成相一致。
工作方式有何不同?会停止工作吗?
使用 Advanced Networking Pack 增补版防火墙上下文的任何现有脚本,将不再运
行。
如何解决这些问题?
更新所有脚本使其包含新的防火墙上下文。
更新用户界面
详细描述
Windows XP Service Pack 2 中更新了 Windows 防火墙 用户界面,以适应新的配
置选项和 IPv6 Windows 防火墙 集成。用户得以能够更改操作状态、全局配置、
l
ogging 选项和 ICMP 选项。最终界面还在开发之中。
用户界面的主要项目已从连接的“属性”对话框移到了“控制面板”图标。
Window
s XP Service Pack 1 依旧提供来自旧位置的链接。另外, 还创建了来自“网络
连
接”文件夹的链接。
为什么此项修改是重要的?
Windows XP Service Pack 2 中新增的功能需要更新到用户界面。
工作方式有何不同?会停止工作吗?
用户界面被从网络连接属性对话框的高级选项卡中移除。
新组策略支持
详细描述
在 Windows 的早期版本中, Windows 防火墙 只有一组策略对象(GPO):禁止在
您的 DNS 域上使用 Internet Connection Firewall 。在Windows XP Service
Pa
ck 2 中,每个配置选项都可以通过组策略设置。可用的新配置选项包括:
? 运行模式(打开, On with no exceptions,关闭)
? 允许程序列在例外列表
? 打开静态端口
? ICMP 设置
? 启用 RPC 和 DCOM
? 启用文件和打印机共享
企业配置文件和标准配置文件都可以设置这些对象。 有关组策略选项的完整列表
,
请参阅“Deploying Internet Connection Firewall Settings for Microsoft
Wi
ndows XP with Service Pack 2”,位于 Microsoft 下载中心 http://go.
micros
oft.com/fwlink/?linkid=23277 [英文]。
为什么此项修改是重要的?
对于管理员管理 Windows 防火墙策略以便应用程序和情境在企业环境中工作,此
项
修改是重要的。
工作方式有何不同?会停止工作吗?
IT 管理员现在可以决定 Windows 防火墙 的默认设置内容。使得可以启用或禁用
应
用程序和情境。允许更多控件,但策略不更改 Windows 防火墙 的基础功能。
Windows XP Service Pack 2 添加或修改了哪些设置?
设置名称 位置 先前默认值(如果可用) 默认值 可能值
运行模式
(组策略对象)计算机配置\管理模板\网络\Windows 防火墙
(组策略对象)计算机配置\管理模板\网络\Windows 防火墙
不可用。
启用
打开
关闭
保护
允许程序
(组策略对象)计算机配置\管理模板\网络\Windows 防火墙
不可用。
未被配置
程序路径
打开端口
(组策略对象)计算机配置\管理模板\网络\Windows 防火墙
不可用。
未被配置
端口号: 数字
描述:字符串
协议:TCP/UDP
ICMP 设置
(组策略对象)计算机配置\管理模板\网络 \Windows 防火墙
(组策略对象)计算机配置\管理模板\网络 \Windows 防火墙
不可用。
未被配置
请求回显:打开或关闭
源抑制:打开或关闭
重新定向:打开或关闭
无法达到目标:打开或关闭
路由器请求:打开或关闭
时间超时:打开或关闭
参数问题:打开或关闭
掩码请求:打开或关闭
时间戳请求:打开或关闭
时间戳请求:打开或关闭
动态分配 RPC 和 DCOM 的端口
(策略对象)计算机配置\管理模板\网络\Windows 防火墙
不可用。
未被配置
不可用。
为了能够在 Windows XP Service Pack 2 下使用,我需要修改代码吗?
出站连接
描述
对于典型消费者和办公室计算机,计算机就是网络上的客户。计算机上的软件连向
外接到服务器(出站连接)并从服务器得到响应。Windows 防火墙 允许所有出站
连
接,但将通信类型应用规则允许返回到计算机。有关Windows 防火墙允许哪些网络
通信作为传输控制协议(TCP)和用户数据协议 (UDP)(出站连接)的一部分,
请
参阅以下 “注意”。
需要的操作
无。Windows 防火墙将自动允许所有出站连接,忽略程序和用户上下文。
注意
? 当计算机向目标计算机发出 TCP 请求时,计算机只接受来自目标计算机的响应
。
? 计算机发送 UDP 数据包时,Windows 防火墙允许对任何 IP 地址发送 UDP 数据
包时使用的端口响应 90 秒。
? 如果响应发往的端口是发出多播通信的端口,而且来自与计算机同处一个子网的
IP 地址,那么对多播和广播通信的单播响应允许通过Windows 防火墙 3 秒钟的
时
间。有一个防火墙设置可以控制此行为,该设置默认为启用状态。
例子
? 使用 Microsoft Internet Explorer 浏览 Web
? 在 Outlook Express 中检查电子邮件
? 在 MSN Messenger或 Windows Messenger 中聊天
应用程序的非请求入站连接
描述
描述
此情境包含在 TCP 接口上完成侦听或通过 Winsock 成功绑定到特殊 UDP 接口的
应
用程序。针对该情境,Windows 防火墙可以根据应用程序的需要自动打开和关闭端
口。
需要的操作
管理员安装需要侦听端口的应用程序时,用户必须指出他们是否要允许应用程序打
开防火墙中的端口。
? 如果用户同意,那么应用程序应使用INetFwAuthorizedApplication API 将自己
以启用状态添加到 AuthorizedApplications 连接。
? 如果用户不同意,那么应用程序应使用INetFwAuthorizedApplication API 将自
己以禁用状态添加到 AuthorizedApplications 连接。
使用INetFwAuthorizedApplication API将应用程序添加到
AuthorizedApplicatio
ns 连接时,需要以下值:
? 图像文件名称。这是调用 Winsock 侦听网络通信的文件。这必须是一个完全合
格
的路径,但可能包含环境变量。
? 友好名称。这是在 Windows 防火墙 用户界面中将会显示给用户的应用程序名称
。
以下是可选值:
? 仅本地子网。默认状态下,允许所有网络通信从打开的端口通过。如果应用程序
只需要从本地子网接收通信,那么此值应只允许通过 Windows 防火墙 从本地子网
接收通信。
? 启用。默认状态下,AuthorizedApplications连接中的应用程序项目启用。如上
所述,如果用户不同意应用程序打开端口,此值应用于以启用添加应用程序项目。
这样用户就可以在 Windows 防火墙 用户界面中看见应用程序并在以后启用该程序
。
Windows 防火墙 监控 monitors Winsock 来查看应用程序何时在端口上开始和停
止
侦听。结果,一旦应用程序项目在 Windows 防火墙 例外列表中被启用,端口自动
打开和关闭。这意味着实际上不需要 Winsock 应用程序去操作打开和关闭端口。
注意以下:
? 应用程序必须运行在使用管理员权限将自己添加到 Windows 防火墙例外列表的
用
户上下文中。
? 对于允许的 Winsock 应用程序,不管运行应用程序的用户上下文如何,均自动
打
开和关闭端口。
? 应获得用户的同意后,才能将应用程序添加到 AuthorizedApplications 连接。
? Svchost.exe 不能被添加到 AuthorizedApplications 连接。
例子
导致 Microsoft 应用程序可能运行不正常的任务包括:
? 在 MSN Messenger 或 Windows Messenger 中使用音频和视频
? 在 MSN Messenger 或 Windows Messenger 中传输文件
? 邀请多人游戏
服务入站连接
描述
需要开发人员使用 AuthorizedApplication API 处理所有其他情境时,建议在固
定
端口上侦听的服务使用 Windows 防火墙 全局端口。因为固定端口将始终开启,会
给动态打开端口带来不利。但是,使用全局端口 API 时,用户将能自定义这些端
口
的防火墙设置。
需要的操作
服务需要在固定端口上侦听时,必须询问用户是否允许服务打开防火墙中的端口。
最好在安装服务时询问用户。
如果用户同意这样做,那么服务应使用 INetFwOpenPort API 将规则添加到
Windo
ws 防火墙 以打开服务需要的固定端口。这些规则必须被启用。
如果用户不同意,那么服务还是应使用 INetFwOpenPort API 将规则添加到
Windo
ws 防火墙 以打开服务需要的固定端口。但是,这些规则必须被禁用。
使用 INetFwOpenPort API 将打开端口添加到 Windows 防火墙,需要以下值:
? 端口。这是要打开端口的数字(编号)。必须在 1 至 65,536之间,包括 1 和
65,536。
? 友好名称。这是在 Windows 防火墙 用户界面中会显示的打开端口的名称。
以下是可选值:
? 协议。该值用于指定要打开的端口是 TCP 还是 UDP。如果没有指定,则默认是
TCP 。
? 仅本地子网。默认状态下,打开的端口允许通过所有网络通信。此值可用于限制
端口,只允许 Windows 防火墙 通过来自本地子网的通信。打开一个端口时,只要
可能,服务应将端口限于本地子网通信。
? 启用。状态下,打开端口被添加后默认为启用。如上所述,当用户不同意服务打
开端口时,此值被用于以禁用添加打开端口。这样用户就可以在 Windows 防火墙
用户界面中看见服务并在以后启用该服务。
服务被禁用时,应再次使用 INetFwOpenPort API 关闭随时被打开的静态端口。如
果只有服务使用端口,可以很容易关闭端口,但是,只有确认没有其他服务在使用
端口时,才可以关闭端口。
应用程序必须运行在使用管理员权限静态打开 Windows 防火墙端口的用户上下文
中
。
注意以下:
? 通过 INetFw API 静态打开端口时,只要可能,服务应将自身限制于自本地子网
的通信。
? 服务必须获得用户同意才能静态打开 Windows 防火墙 端口。没有事先通知用户
? 服务必须获得用户同意才能静态打开 Windows 防火墙 端口。没有事先通知用户
,服务不会自动打开端口。
例子
需要入站连接的服务的例子:
? 文件和打印机共享
? UPnP 结构
? 远程桌面
RPC 和 DCOM 端口上的入站连接
描述
某些应用程序和服务需要使用 RPC 端口,直接通过 DCOM 或 RPC 进行入站连接。
打开 RPC 端口时,因为牵扯重大安全问题, 这些端口被作为特殊事件处理,在非
常需要时,开发人员才可尝试通过通过 Windows 防火墙 启用 RPC。
需要的操作
Windows 防火墙 在防火墙中有一个外在设置,可以自动打开或关闭 RPC 端口。因
此,应用程序和服务不必打开通信端口就能使用 RPC 进行入站连接。但是,默认
状
态下,Windows 防火墙 阻止 RPC 。这意味着应用程序或服务需要启用 Windows
防
火墙 中的 RPC 端口。
如果 RPC 端口已被启用,那么,应用程序或服务不必作任何准备就能正常运行。
如果用户同意启用 RPC 端口,那么应用程序或服务应使用 INetFwProfile API 将
AllowRpcPorts 设置为“TRUE”,以便允许通过 RPC 端口通信。
如果用户不同意启用 RPC 端口,那么应用程序不要将 Windows 防火墙 配置为启
用
RPC 端口。
注意以下:
注意以下:
? 应用程序或服务必须运行在使用管理员权限启用或禁用自动打开 Windows 防火
墙
端口的用户上下文中。
? 应用程序或服务应获得用户同意才能通过 Windows 防火墙 启用 RPC 端口。
? 仅在非常需要时,应用程序或服务才可尝试通过 Windows 防火墙 启用 RPC。
? RPC 端口设置只对本地系统、网络服务或本地服务上下文中运行的 RPC 服务有
效
。其他用户上下文中运行的 RPC 服务打开的端口,将不通过该设置启用。所以,
那
些 RPC 服务应使用例外列表。
返回页首
Windows 媒体播放器
媒体播放器有何作用?
Windows 媒体播放器是提供媒体内容,播放媒体文件,帮助整理存储的媒体文件的
应用程序。
此特性适用于哪些用户?
所有使用 Windows 媒体播放器的用户应注意 Windows XP Service Pack 2中包含
的
修改。
Windows XP Service Pack 2 中的本项特性添加了什么新功能?
Windows 媒体播放器系列 9
详细描述
Windows 媒体播放器系列 9 作为 Windows XP Service Pack 2 的一部分安装。此
版本的 Windows 媒体播放器包括安全修补和新增功能。
在Windows XP Service Pack 2 安装过程中,如果选择存档文件选项,您可在以后
删除 Windows 媒体播放器系列 9 。删除时,可以通过“添加或删除程序”删除服
务包。Windows 媒体播放器系列 9 和服务包会一起被删除,早期版本的
Windows
媒体播放器和操作系统都存储在它们的早期版本中。
如果在运行 Windows 早期版本的计算机中全新安装包含 Service Pack 2 的
Wind
ows XP,操作系统被更换后,Windows Media Player 9 系列不能被删除。有关更
多
信息,请参阅 Microsoft Web 站点。
为什么此项修改是重要的?它有助于缓解哪些威胁?
早期版本的 Windows 媒体播放器有一些安全漏洞。虽然这些漏洞可使用软件更新
修
复,一个更加彻底的解决方法是将早期版本升级到 Windows 媒体播放器系列 9 。
Windows Media Player 9 系列已通过全面测试和更新,能和 Windows XP
Service
Pack 2 包含的其他安全增强组件一起工作。
工作方式有何不同?会停止工作吗?
如果卸载 Windows XP Service Pack 2,可能需要重新获得许可授权来播放已获得
许可的内容。如果已将计算机从 Windows 2000 或 Windows XP升级了到
Windows
XP Service Pack 2,需要获得许可,因为 Windows Media Player 9 系列处理数
字
内容许可的方式不同于早期版本。
如何解决这些问题?
在删除 Windows XP Service Pack 2 后,要确保现有许可内容可用于 Windows 媒
体播放器,执行以下操作之一:
? 在将计算机升级到 Windows XP Service Pack 2 之前,备份数字媒体文件的许
可
证书(可通过 Windows Media Player 中的许可证管理来备份)。然后,在删除服
务包之前,备份任何已获得的许可证。删除服务包后,恢复所有许可证。
? 删除 Windows XP Service Pack 2 之后,可以从 Microsoft Windows 媒体下载
中心安装媒体播放器 9 系列。
Windows Messenger
Windows Messenger 具体做什么?
Windows Messenger 是一个即时消息程序,使你可以和使用 Windows Messenger
或
MSN Messenger 的其他人实时通信。
使用 Windows Messenger 可以执行以下操作:
? 创建使用 Messenger 的朋友、家人和同事的联系人名单。
? 查看将联系人注册到 Windows Messenger 并生效的时间。
? 和联系人互发文本消息。
? 以很低的费率和世界任何地方通电话,并使用麦克风或耳机交谈。
? 免费与联系人进行可视通话。
? 发送图片、音乐或文件给联系人
? 直接链接到默认电子邮件程序的电子邮件收件箱。
? 邀请别人玩游戏、查看自己计算机上的程序、或一起使用“白板” 交流。
? 使用远程协助允许别人通过您的计算机帮助您。
? 使用 Microsoft .NET Alerts 接收最新信息。
此特性适用于哪些用户?
此特性适用于哪些用户?
所有的 Windows Messenger 用户都应注意 Windows XP Service Pack 2 对此项特
性的修改。
Windows XP Service Pack 2 中的本项特性添加了什么新功能?
Windows XP Service Pack 2 的 Windows Messenger 中添加了以下特性:
? 阻止传输不安全的文件
? 要求用户显示名称
? Windows Messenger 和 Windows 防火墙
阻止传输不安全的文件
详细描述
如果文件包含对计算机有危害的内容,文件传输会被阻止。当有人试图发送文件给
你时,Windows Messenger 先检查发送人是否在联系人名单中。然后,对文件进行
安全性检查。
同时出现以下两种情况时文件被阻止:
? 发送人不在联系人名单中。
? 有人试图发送给你的文件被认为是不安全的。
带扩展名.jpg、.txt 和.gif 的文件通常被认为是安全的,可以从未列入联系人名
单的人那里接收这些文件。
打开某些文件类型时需特别小心,即使您知道它的发送人。因为它们可能包含可执
行代码。当从列入联系人名单的人那里接收这种文件类型时,Windows
Messenger
会询问你如何处理该文件。如果可以保存到计算机硬盘,则只需接收该文件,然后
在打开前使用杀毒程序扫描该文件。
打开以下文件类型前您会被提示:
? Microsoft Office 文件,如.doc、.ppt 和.xls。
? 来自其他应用程序的文件,如.zip、.wpd 和.pdf。
? 计算机应用程序、程序或包含软件代码或脚本的任何文件(包括宏、可执行文件
和 JavaScript)。
? 带扩展名.exe、.cmd、.wsh、.bat、.vb、.vbs、.pif、.scr 和.scff 的文件。
? 其他文件类型。
要获取通常被认为是不安全的文件的列表,请参阅 Microsoft Web 站点上的 "有
关
Internet Explorer 6 中的不安全文件列表的信息" [英文]:http://go.
microso
ft.com/fwlink/?LinkId=25999 [英文]。
为什么此项修改是重要的?它有助于缓解哪些威胁?
如果文件包含对计算机有危害的内容,文件传输被阻止。
工作方式有何不同?会停止工作吗?
某些文件传输将被阻止。
如何解决这些问题?
同时出现以下两种情况时文件才被阻止:出现以下情况时才阻止文件:
? 发送人不在联系人名单中。
? 有人试图发送给你的文件被认为是不安全的。
如果知道文件是安全的,您可以将用户添加到联系人名单,来自他们的文件传输都
会被成功接收。
要求用户显示名称
详细描述
Windows Messenger 现在要求用户显示不同于电子邮件地址的用户名称。
当用户登录 Windows Messenger 时,如果用户在“选项”对话框中修改显示名称
,
这种要求是强制的。
当用户登录 Windows Messenger 时,登录前提示用户提供用户显示名称。如果没
有
提供显示名称,则不能登录。
当用户在“选项”对话框更新显示名称时, Windows Messenger 检查显示名称是
否
与他们的电子邮件相符合。
为什么此项修改是重要的?它有助于缓解哪些威胁?
如果使用文件菜单上的 另存为 命令保存即时消息对话以供将来参考,用户显示名
称将和相关的文本消息一起保存在文本文件中。 通过这些相同的即时消息对话,
病
毒程序能发现文本文件中的电子邮件地址,并使用该邮件地址传播到联系人。
工作方式有何不同?会停止工作吗?
用户提供用户显示名称后才能登录。
如何解决这些问题?
在注册过程中出现提示时,用户必须提供用户显示名称。
Windows Messenger 和 Windows 防火墙
详细描述
Windows Messenger 需要权限才能通过 Windows 防火墙 连接到 Internet。
要许可 Windows Messenger 连接到 Internet,单击 开始,单击控制面板,单击
安
全选项,单击Windows 防火墙,单击 例外,然后,在程序和服务器中,单击
Windo
ws Messenger。
为什么此项修改是重要的?它有助于缓解哪些威胁?
Windows 防火墙默认为打开,以保护用户计算机。
工作方式有何不同?会停止工作吗?
Windows Messenger 会停止运行。
如何解决这些问题?
将 Windows Messenger 添加到 Windows 防火墙例外列表。
Windows XP Service Pack 2 添加或修改了哪些设置?
Windows XP Service Pack 2 中没有修改客户策略。
为了能够在 Windows XP Service Pack 2 下使用,我需要修改代码吗?
不需要修改代码。
无线供应服务(Wireless Provisioning Services)
无线供应服务有何作用?
越来越多的用户正通不断扩大的公共无线网络或 Wi-Fi 热区访问 Internet,使用
Windows XP (SP2)的Service Pack 2(已包括Windows Server 2003 的
Servic
e Pack?1)中的无线供应服务(WPS),通过客户端的自动供应和无缝漫游给无线
用
户提供了公共 Wi-Fi 热点的一致性体验和无缝连通性。利用 WPS,无线
Internet
服务提供商(WISP)可以使用基于标准的集成平台提供带有增强安全性且易于使
用
和管理的 Wi-Fi 热点。另外,利用 WPS,企业可以容易地给专用无线网络提供带
有
增强安全性的来宾访问。
利用WPS, WISPs 和企业可以将供应和配置信息发送给连接到 Internet 或企业网
络的移动客户。反过来,这又实现了移动客户端的无缝、自动和安全配置 ,从而
在
企业内部和跨越不同公共网络供应商和热点位置提供了同意的+-注册体验。
注意 此项特性需要 Windows Server 2003 Service Pack 1 来启用本节中描述的
用
户情境。Windows Server 2003 Service Pack 1 还未发布。
此特性适用于哪些用户?
此特性适用于哪些用户?
无线供应服务设计用于以下三种组织类型:
? 热点服务提供商(HSP)
HSP 在公共场所部署无线访问点,如购物商场和机场,但 HSP 不是 Internet 服
务
提供商(ISP)。相反,HSP 与一家或多家 ISP 签订合同,提供一种或多种服务计
划,供用户在建立 Internet 访问帐户时挑选。
? 无线 Internet 服务提供商(WISP)
WISP 是在公共场所部署 Wi-Fi 热点或将 Wi-Fi 热点外包给 HSP 的 ISP。
? 企业
企业可以使用 WPS 技术让受控制的来宾访问他们的网络。
Windows XP Service Pack 2 中的本项特性添加了什么新功能?
无线供应服务
详细描述
无线供应服务是现有无线服务与 Windows XP 和 Windows Server 2003 中用户界
面
的延伸。 以 Windows 中已有的无线特性(如 Wireless AutoConfiguration)和
无
线安全特性(如Protected Extensible Authentication (PEAP)以及Wi-Fi
Prot
ected Access [WPA])为基础。WPS 也包括了 Windows Server 2003 所做的修改
。
Windows 2003 IAS (Internet Authentication Service)组件经过修改,以便在
供应过程中包括客户的来宾验证。
无线供应服务(WPS)包括了一个供应服务组件,利用该组件,无线 Internet 服
务
提供商(WISP)和企业可以将供应和配置信息发送到试图连接到 Internet 或企业
网的移动客户端。通过使用无线供应服务,WISP 可以在多个网络位置提供服务并
使
用多个网络名称(服务设置标识符,SSID)。一旦用户已在一个位置注册到
WISP
或被预先供应并下载了供应信息,他们今后就能使用 WISP 在不同热点位置提供的
网络自动连接到 Internet。无线自动配置服务根据供应文件,自动选择属于
WISP
的正确网络。WSP 也提供不同提供商之间的自动和无缝漫游。
此外,当客户计算机中使用的 WPS 自动更新存储在客户计算机的供应信息时,允
许
提供商更改网络设置,添加新的位置等等,而不会中断服务或使用户重新配置系统
。
当用户将计算机连接到 WISP 并第一次建立一个帐户时,出现以下四个阶段:
1.
计算机在 Wi-Fi 热区发现 WISP 网络。
2.
使用来宾帐户验证用户和连接计算机到 Wi-Fi 网络。
3.
供应移动客户和用户使用 WISP 建立帐户。
4.
使用新用户帐户凭据在 Wi-Fi 网络上验证用户。
在下面中详细描述各个阶段:
用户使用运行 Windows XP SP2 和 Wireless Provisioning Services(无线供应
服
务)的便携式计算机到达 Wi-Fi 热区,当计算机进入 WISP 访问点的信号范围,
出
现以下过程:
1.
客户计算机上的无线自动配置(WAC)服务检测来自访问点的信标信息,该访问点
由广播安全设置标识符(SSID)启用。SSID 等效于网络名称。
2.
Windows XP 告知用户无线网络是可用的。用户在 Windows XP 中查看信息,包括
网络的好记的名称。在此例子中,用户拥有建立帐户的 升级代码,单击“连接”
继
续。这会使 WPS 客户使用受限特权的来宾帐户将用户计算机连接到无线网络。
来宾帐户被 Wi-Fi 网络验证后,出现以下过程:
1.
WAC 使用 802.1x 和受保护的扩展验证协议(PEAP)连接 WISP 网络,并以来宾
身
份验证 WISP 网络,自动将空白用户名称和密码传递给 WISP Internet 认证服务
(
IAS) 服务器(IAS也称为 Microsoft RADIUS 服务器)。访问点连接到网关设备
,
网关设备允许来自客户端的通信传递到网络中的供应服务以完成注册过程,但是不
允许阻止客户访问 Internet。
2.
IAS 服务器(或 RADIUS 服务器)是以来宾身份连接的用户的 PEAP 身份验证程
序
IAS 服务器(或 RADIUS 服务器)是以来宾身份连接的用户的 PEAP 身份验证程
序
和传输层安全性(TLS)终结点。在客户和 IAS 服务器之间创建 TLS 隧道。客户
和
服务器之间的所有后续消息均通过此隧道穿越访问点和网关设备。
3.
当 IAS 服务器使用在增强密钥使用(EKU)扩展中包含 Server
Authentication
(服务器身份验证)目的的证书检查客户计算机的身份时,执行服务器身份验证。
此证书由客户计算机信任的可信的公共根证书颁发机构(CA)颁发。
4.
IAS 服务器以来宾身份验证和授权用户。IAS 服务器发送给客户的
Access-Accep
t(接受访问)消息是一个容器,包含一个指向供应信息的 URL。此 URL 提供了在
客户机上运行的无线供应服务引擎, 以及 XML 主控文件的位置。
当客户得到供应和用户创建帐户后,会发生如下操作:
1.
在客户计算机上,无线供应服务从供应服务器下载 XML 主控文件和子文件。
XML
主控文件包含指向 XML 子文件的指针,该 XML 子文件包含了指向 XML 子文件的
指
针,这些指针可以通过一个进程来控制客户端进度。下载完 XML 登录架构之后,
登
录向导在客户上启动运行,允许用户创建 WISP 帐户和进行支付。
2.
通过使用客户机上的注册向导,用户可以逐步完成帐户的注册过程。用户输入的
数
据被无线供应服务客户端转换为 XML 文档。
3.
包含用户注册数据的 XML 文档被发送给 WISP 供应服务器上的 Web 应用程序。
4.
Web 应用程序根据提升代码数据库(例如 SQL Server 数据库)检查用户输入的
提
升代码(promotion code)。如果提升代码有效,Web 应用程序则继续处理用户的
数据。
5.
Web 应用程序处理用户的支付信息。在确认了支付信息和注册信息成功完成之后
,
Web 应用程序会从提升代码数据库中读取域和安全组信息,并且在身份服务(例如
Active Directory)中创建一个用户帐户,然后将帐户添加到安全组。Web 应用
程
序还会在提升代码数据库中输入新的用户名称。
6.
包含新帐户凭证的 XML 文档从 WISP 供应服务器发送到客户机上的无线供应服务
客户端。客户机使用凭证配置 WISP 下的 WAC 和 802.1x。。连接利用新用户帐户
客户端。客户机使用凭证配置 WISP 下的 WAC 和 802.1x。。连接利用新用户帐户
基于密码的凭证(用户名和密码)重新进行初始化。
最后,当用户使用新的帐户凭证接受身份验证和获得了访问 Internet 的能力的时
候,会发生如下操作:
1.
客户机上的无线自动配置(Wireless Auto Configuration、WAC)服务重新启动
与
WISP 的 SSID 的关联。
2.
WAC 找到正确的 802.11 配置文件,该配置文件与 XML 主控文件中的其他
WISP
信息一同下载。WAC 使用正确的配置文件重新与访问点进行关联。
3.
WAC 使用 802.1x 启动身份验证过程,身份验证过程利用了被无线供应服务客户
端
传递给 802.1x 的新帐户凭证,并且综合使用了受保护的可扩展身份验证协议和
M
icrosoft 问询握手身份验证协议版本2(PEAP-MSCHAPv2)
4.
随着客户端利用 PEAP-MSCHAPv2 启动身份验证过程,会在用户的客户机和
WISP
IAS 服务器之间建立一个 TLS 隧道。
5.
在 PEAP-MSCHAPv2 身份验证的第二阶段,WISP IAS 服务器验证并授权对用户帐
户
数据库(例如 Active Directory)中的新帐户提出的连接请求。IAS 服务器向访
问
点发出一个Access-Accept(接受访问)消息。包括在 Access-Accept 消息中的属
性指出用户现在可以访问 Internet 了。
6.
访问点指示网关设备将该客户机分配给能够访问 Internet 的逻辑网段。
它有助于缓解哪些威胁?为什么此项修改是重要的?
无线供应服务(Wireless Provisioning Services)在不损失安全性的情况下,使
得无线热区的使用更加容易。WPS(安装了 Windows Server?2003 Service
Pack?1
)以及 Microsoft IAS(又称为 RADIUS 服务器)使用户的计算机能够更容易地在
各个无线热区之间发现、连接和漫游,同时具有更高的安全性。
? WISP 登录当前的连接模式并不安全。大多数 Wi-Fi 热区被配置为开放式身份验
证而且没有数据加密。通常要求用户启动 Web 浏览器来启动 WISP 服务的注册和
后
续登录。WSP 为客户机和无线网络之间的通信添加加密和身份验证能力,以缓解此
威胁。
? 基于浏览器重定向的部署会带来许多易用性问题。用户可能甚至不知道应该通过
? 基于浏览器重定向的部署会带来许多易用性问题。用户可能甚至不知道应该通过
启用浏览器来建立连接。可能会出现的另一种情况是,如果设置浏览器使用代理服
务器访问 Internet,而用户直接连接到企业网络。在这种情况下,浏览器的重定
向
不会起作用,用户必须禁用代理设置才能连接到热区。这样会为 WISP 或者企业支
持部门带来大量的支持成本。
? 基于浏览器的部署对于“中间人”攻击来说存在很多漏洞,例如,由一个使用欺
诈访问点的恶意前端服务器发起的攻击。接受此访问点询问的用户可能在无意识中
泄漏了自己的个人身份和信用卡信息。该访问点所查询的用户可能不知道已经放弃
了个人识别和信用卡信息。通过去除 Web 登录的需要,WSP 可以降低 WISP 用户
遭
受此类攻击的可能。
? 如果没有其他的热区客户端软件,用户无法轻松检测到热区,也无法使用一个统
一的机制登录这些热区。用户不容易找到有关 WISP 的信息,也不易搜索到该
WIS
P 的热区位置。如果用户登录到一个热区,他们不必配置为自动使用其他热区。此
外,没有任何标准的机制可以保持他们的供应或配置信息始终处于最新。
? 加载项热区客户端软件可以帮助用户访问特定的 WISP 网络。但是,加载项软件
可能会与操作系统内置的无线服务或者来自其他提供商的客户端软件产生冲突,这
有可能引起互操作问题,而且在它们试图控制整个系统的无线设置时,甚至会导致
系统的不稳定。对 WISP 配置的更新通常需要更新客户端软件。出于这些原因,许
多企业 IT 部门都不愿意为用户部署第三方热区客户端软件。
? 对于跨越各个 WISP 处理用户登录和更新配置,还没有任何标准化的机制。所以
,用户体验是破碎的,在不同提供商之间进行自动的无缝漫游也是困难的。
无线网络注册向导
详细描述
无线网络注册向导(Wireless Network Registration Wizard)为无线热区提供了
用户界面,引导用户完成供应过程。该向导会根据 WISP 提供的供应信息(XML 文
件)构建内容。供应信息可以动态下载或者预装在客户机系统上。预装工作可以由
OEM 厂商在新系统上进行,可以由组织内的 IT 部门进行,也可以通过某个
WISP
Web 站点进行。WISP 拥有和创建了供应信息,并且改善用户的登录和供应体验。
以下示例展示了一个带有预付费代码的简单的无线网络注册向导体验。XML 架构和
向导比较灵活,而且具有更加复杂的登录体验。
首先,用户可以右击通知区域中的无线网络图标,然后点击 查看可用的无线网络
;
或者,在通知区域中的通知消息指出范围内有新的无线网络可用时,用户可以对消
息做出响应。当 选择一个无线网络 出现时,用户选择一个新的无线网络,然后将
网络置于首选网络列表中。
然后,用户选择一个网络名称(一个 SSID),然后点击 连接,连接到无线网络。
利用一个基于 WPS 的 Wi-Fi 热区,客户机检测是否存在与网络和供应商有关的更
多的供应信息(以 XML 文件格式存在)。然后,它确认用户是否应该下载供应信
息
。在一个非 WPS 网络中,用户体验与目前的 Windows XP 相同:在用户连接到一
个
安全网络时提示安全密钥;或者警告用户他们正在访问一个不安全的网络,然后询
问用户是否连接到该网络。
在下载完成后,无线网络注册向导自动启动,然后引导用户完成注册过程。第一个
屏幕显示了定制徽标(或横幅图片)以及来自提供商的内容。
在后续屏幕中,可能会让用户选择一个订阅计划,输入信用卡信息和个人信息等。
在本例中,只有一个计划,并且要求用户输入他们的预付费或提升代码以便能够访
问网络。下一步,“Wi-Fi 热区部署” 将显示与所选计划有关的信息,例如服务
协
议条款或隐私声明。
在最后一个屏幕中,向导会要求用户为该连接设定连接参数。这些默认的参数可以
由提供商设置,但是也可以由用户进行修改。例如,如果用户选择了不限数据的包
月服务,只要处于范围之内,他们可能总是希望连接到网络。如果用户选择了一个
“随用随付” 的计划,他们可能希望根据自己的喜好,控制和选择一个手动连接
选项。
第二个选项确定了客户机是否自动将供应信息保持为最新。例如,如果提供商增加
了新的网络名称、新的位置或者修改了网络设置或安全设置,在连接到网络时,客
户机可以自动更新信息而无需用户交互。
在对由提供商、提供商的漫游合作伙伴提供的相同或不同热区进行后续访问时,如
果选择了自动连接, 用户需要做的所有事情就是打开移动计算机,或者从待机操
作
中恢复,然后就可以自动连接到网络。在建立连接之后,不会在 选择无线网络 对
话框中显示一个晦涩的网络名称或 SSID(该对话框可以从 查看可用的无线网络
通
知窗口),而是会显示提供者的友好名称,以及提供者的徽标。
从该对话框中,用户还可以搜索可用的热区位置,或者查看 WISP 提供的帮助和支
持信息。帮助和热区位置信息作为供应信息的一部分被下载。位置信息可以在线或
离线搜索和查看。
Windows XP Service Pack 2 对现有功能进行了哪些修改?
无线用户界面经过修改 —— 一个新的 查看可用的无线网络 对话框替代了现有对
话框。
为了能够在 Windows XP Service Pack 2 下运行,我需要修改代码吗?
无线供应服务不要求对现有应用程序进行任何修改。WPS 有两个新的 API。一个新
API 用来在计算机上添加和查询 XML 数据。该 API 可以用来按照用户(使用独
立
应用程序),按照 OEM,或者 IT 部门,预供应来自 WISP Web 站点的客户端。
返回页首
无线网络安装向导
无线网络安装向导有何作用?
无线网络安装向导(Wireless Network Setup Wizard) 可以帮助用户配置一个具
有增强安全性的无线网络,而且简化了在计算机和其他设备上配置无线网络连接的
过程。该向导在可移动介质(例如可以在组成无线网络的不同设备和计算机间间传
输数据的 USB 闪盘)上保存配置信息和安全密钥。向导还为配置信息的打印提供
了
方便,以便于这些可以被手动输入到不能从可移动介质中读取数据的设备中。
本特性适用于哪些用户?
计算机配备了以下硬件设备的用户
? USB Host 端口
? 安装了无线网络
说明:向导可以在没有无线连接的计算机上运行。
Windows XP Service Pack 2 为本特性增加了哪些新的功能?
无线网络安装向导
详细描述
随着无线网络的日益流行,越来越多的用户开始在家中使用无线网络,将支持无线
网络的计算机和其他设备连接在一起,在 Windows XP Service Pack 2 出现之前
,
创建一个安全的无线网络并且将无线设置传播给无线客户机和其他访问点非常困难
。无线网络安装向导旨在满足用户对轻松配置和启动无线网络硬件(又称作无线访
问点或 WAP)以及无线客户端(包括计算机和其他设备)的需要。
无线网络安装向导为 Windows 用户使用可扩展标记语言(XML)架构和可移动介质
轻松创建和传播网络设置提供了一种手段。将来,XML 架构可能还被用于传输广域
网(WAN)、局域网(LAN)以及无线局域网(WLAN)的设置。但是,Windows XP
S
P2 的无线网络安装向导创建的 XML 文件只能用于传输 WLAN 的配置设置。
为什么此项修改是重要的?
许多家庭无线网络在部署时没有设置安全性,因为为所有互联组件添加安全标识符
比较复杂。该向导让用户能够简单地创建一个具有增强安全性的无线网络。随着越
来越多的计算机和设备开始支持无线功能,对轻松配置和实现该功能的要求也日益
迫切。在很多情况下,设备没有办法输入能够提供增强安全性的无线网络设置。该
向导简化了这种设备的配置过程,使得部署一个具有更高安全性的无线网络不再成
为一种难事。以下列表展示了一种可以使用无线网络安装向导配置的设备:
? 无线访问点
? 桌面打印机
? 网络打印机
? 照片洗印店
? 数字媒体接收器
? 电子相框
? 机顶盒
? 便携计算机和设备
它有助于缓解哪些威胁?
没有安全选项的无线网络。不受安全保护的无线网络为恶意用户访问数字信息以及
其他网络资产提供了一个入口点。
工作方式有何不同?会停止工作吗?
这是一个新向导,为配置无线网络提供了一个新的机制。向导对于配置计算机和设
备十分游泳,即便是它们没有直接支持这种体系结构。(可以创建一个无线网络,
打印设置信息,以便手动将设置输入到无线设备和计算机中。
--
我好咸湿
※ 修改:·presses 於 Aug 14 14:31:27 修改本文·[FROM: 210.21.224.236]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 210.21.224.236]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店