Информационная безопасность

       

содержится информация об уязвимостях


В Таб. 1 содержится информация об уязвимостях из 40 последних программных коррекций системы защиты, выпущенных компанией Microsoft6.

Microsoft Security Bulletin, Current Downloads (результаты могут отличаться от приведенных, так как информация регулярно обновляется) — http://www.microsoft.com/technet/security/CurrentDL.aspx

Microsoft обозначила 15 из этих 40 уязвимостей как Критические. Это означает, что, согласно субъективному анализу самой Microsoft, 38% из последних обнаруженных и исправленных проблем имеют серьезность Критическая, то есть наивысшую из возможных.

Однако в применяемой Microsoft методике оценки серьезности брешей есть два спорных момента.


    Microsoft часто присваивает бреши серьезность Критическая для всех операционных систем Windows, кроме Windows Server 2003, когда той же бреши присваивается более низкий статус — Важная. Причина этого различия в том, что установленные в Windows Server 2003 настройки по умолчанию отличаются от настроек по умолчанию в других версиях Windows. Microsoft следующим образом описывает различные настройки7:

    Default Settings Different on Windows Server 2003 Эти настройки перечисляются на нескольких страницах в разделе "Frequently Asked Questions, What is Internet Explorer Enhanced Security Configuration?" Вот одна из таких страниц: http://www.microsoft.com/technet/security/bulletin/ms03-032.mspx

  1. "Уровень безопасности, установленный для зоны Интернет — Высокий. Такая настройка запрещает загрузку скриптов, элементов управления ActiveX, Microsoft Java Virtual Machine (MSJVM), HTML-контента и файлов.
  2. Отключено автоматическое обнаружение сайтов интрасети. Такая настройка передает все web-сайты интрасети и все сетевые пути UNC (Universal Naming Convention), не перечисленные в явном виде в зоне локальной интрасети, в зону Интернет.
  3. Заблокированы установка по требованию (Install On Demand) и использование дополнительных компонентов web-навигатора, разработанных не компанией Microsoft. Такая настройка не позволяет web-страницам автоматически устанавливать дополнительные компоненты, а также не позволяет функционировать компонентам, разработанным не компанией Microsoft.
  4. Заблокирован мультимедиа-контент.
    Такая настройка не позволяет запускать музыкальные клипы, анимационные клипы и видеоклипы".


  5. Хотя некоторые из этих настроек по умолчанию (например, блокировка мультимедиа-контента) абсолютно логичны для сервера, почти невозможно представить, чтобы кто-либо из использующих Windows Server 2003 не изменил настройки, описанные в первом абзаце. Эти настройки делают Internet Explorer почти бесполезным для администратора сервера, желающего использовать web-навигатор для выполнения административных задач, загрузки обновлений и т. д. Понижать уровень серьезности, предполагая, что пользователи Windows Server 2003 оставят такие настройки по умолчанию без изменений — значит, в лучшем случае, заблуждаться. Если бы пользователям Windows Server 2003 предлагалось администрировать сервер удаленно, это могло бы уменьшить данную угрозу. Но Microsoft рекламирует знакомый локальный интерфейс Windows как главное преимущество Windows Server 2003.
  6. В приведенный ниже список (Таб. 1) включены бреши, уровень серьезности которых ограничен в соответствии с полномочиями пользователя. Эти случаи отмечены в таблице: в столбце "Полномочия" указано "Пользователь". Но поскольку Windows Server 2003 — это сервер, то очевидно, что большинство пользователей, непосредственно работающих на компьютере под управлением Windows Server 2003, будут администраторами. Даже если предположить, что все станут использовать оптимальные приемы работы на настольном компьютере, очевидно, что администраторы Windows Server 2003 входят в систему с полномочиями администратора. Поэтому в тех случаях, когда серьезность брешей "ограничивается" полномочиями пользователя, большую часть времени уровень серьезности фактически не уменьшается, так как пользователь будет иметь полномочия администратора. В качестве примера можно привести брешь, описанную в Microsoft Security Bulletin MS04-015. По указанной выше причине эта брешь заслуживает оценки Критическая, а не Важная. Парадоксально, но подобные бреши в Linux заслуживают понижения оценки, потому что Linux не предлагает администраторам работать в графической среде непосредственно на сервере.


Приняв во внимание все обстоятельства, следует оценить как Критические еще по меньшей мере пять уязвимостей. Это означает, что по показателям, описанным в предыдущих разделах, 50% перечисленных брешей оцениваются как Критические. Если уязвимость должна иметь оценку Критическая с учетом того, что администратор, скорее всего, изменит те настройки по умолчанию, благодаря которым Microsoft понизила уровень серьезности, то этот факт отмечается в скобках. Но при общем сравнении эти уязвимости не рассматривались как Критические. Комментарий в скобках показывает, что Microsoft преднамеренно недооценивает серьезность данной бреши на основании необоснованного допущения — настройки по умолчанию, установленные в Windows Server 2003, существенно меняют ситуацию.

Таблица 1. Программные коррекции и уязвимости Microsoft Windows Server 2003


Содержание раздела