第 2 部分:网络保护技术
本文档是“Windows XP Service Pack 2 中的功能变更”的第 2 部分,提供了 Microsoft® Windows XP Service Pack 2 中网络保护技术的详细信息。
本 文档适用于 Microsoft Windows® XP Service Pack 2 (SP2),该 Service Pack 面向 32 位版本的 Windows XP Professional 和 Windows XP Home Edition。本文档中没有描述包含在 Service Pack 中的所有功能变更,而是重点介绍了对使用 Windows XP SP2 最具影响的那些变更,并提供了其他可用的参考信息。
本页内容
 | Alerter 和 Messenger 服务 |
| 客户端管理工具 |
| DCOM 安全增强功能 |
| TCP/IP |
| RPC 接口限制 |
| WebDAV 重定向程序 |
| Windows 防火墙 |
| Windows Media Player |
| Windows Messenger |
| 无线提供服务 |
| 无线网络安装向导 |
Alerter 和 Messenger 服务
Alerter 和 Messenger 服务的作用是什么?
Alerter 服务和 Messenger 服务是 Windows 的组件,通过它们可以在网络上的计算机之间传递简单消息。Messenger 服务中继来自不同应用程序和服务的消息,而 Alerter 服务专用于管理警报。
此功能适用于哪些用户对象?
与 其用户进行通信的管理员应该了解对这些服务所做的更改。此外,使用这些服务通知用户有关网络上事件或广播消息的开发人员也应该了解这些更改。虽然这些更改 适用于运行 Microsoft Windows XP Service Pack 2 的所有计算机,但是只有连接到网络的计算机才会受到相应的影响。
Windows XP Service Pack 2 中对哪些现有功能进行了更改?
Alerter 服务和 Messenger 服务已禁用
详细说明
在以前版本的 Windows 中,Messenger 服务设置为自动启动,Alerter 服务设置为手动启动。在 Windows XP Service Pack 2 中,这两种服务均设置为“禁用”。没有对这两种服务进行其他更改。
为什么此更改非常重要?它有助于缓解哪些威胁?
这些服务启动时,它们允许传入网络连接,从而会产生一个攻击面。这就增加了其安全风险。此外,这些服务在当前的计算环境中也很少使用。鉴于这些服务会产生额外的攻击面且一般很少使用,现在已将其默认为禁用。
哪些功能发生变化?是否存在任何依赖性?
默认情况下,使用 Alerter 服务或 Messenger 服务与用户进行通信的应用程序或服务均不会成功。
如何解决这些问题?
有两种可能有效的方法可以解决该问题。建议您采用的解决方法是修改软件,使其使用其他方法与用户进行通信。这样,您就能够以更高的安全性与用户进行通信,而无须使用 Alerter 服务或 Messenger 服务。
另 一种方法是先让应用程序启动 Alerter 服务或 Messenger 服务,然后再使用其服务。在联机帮助和 MSDN 中可以找到启动这些服务的信息。有关示例,请参阅 Microsoft 网站上的“Using the Services Administrative Tool to Configure Services”,网址是:http://go.microsoft.com/fwlink/?LinkId=25974。
是否需要更改代码才能使用 Windows XP Service Pack 2?
如果您的代码使用 Messenger 服务或 Alerter 服务,则可能需要更改它。有关详细信息,请参阅上面的“如何解决这些问题?”。
Bluetooth
Bluetooth 的作用是什么?
Bluetooth® 无线技术是一种用于连接移动设备的低成本、短距离的无线规范,可用于多种设备。Windows XP Service Pack 2 支持 Bluetooth 无线技术。以前 Microsoft 没有直接提供该支持。现在之所以提供该支持,是因为客户要求将该技术添加到核心 Windows 操作系统中。
使用该版本可以:
| • | 将 Bluetooth 设备连接到计算机。 |
| • | 创建具有 Bluetooth 键盘和鼠标的无线桌面。 |
| • | 向 Bluetooth 设备传送文件或从其传送文件。 |
| • | 打印到 Bluetooth 打印机。 |
| • | 通过 Bluetooth 移动电话连接到计算机网络或 Internet。 |
| • | 通过 Bluetooth 移动电话建立到 Internet 的 Internet 协议 (IP) 连接。 |
如果在 Windows XP 上安装了适当的 Microsoft 或非 Microsoft 软件程序,则您还可以使用 Bluetooth 设备执行其他操作,例如:
| • | 将联系人及日历与 Bluetooth 移动电话或个人数字助理 (PDA) 同步。 |
| • | 从 GPS 接收器读取坐标。 |
该版本还具有对以下 Bluetooth 配置文件的支持:
| • | 个人区域网 (PAN)。启用基于 Bluetooth 无线技术的 IP 连接。 |
| • | 硬拷贝替换配置文件 (HCRP)。启用打印。 |
| • | 主机接口设备 (HID)。启用 Bluetooth 键盘、鼠标和游戏杆。 |
| • | 拨号网络。使 Bluetooth 移动电话可以充当调制解调器。 |
| • | 对象推送配置文件 (OPP)。启用文件传送。 |
| • | 虚拟 COM 端口 (SPP)。使旧版程序可以与 Bluetooth 设备进行通信。 |
此外,还包括以下 Bluetooth 特性:
| • | 选择性挂起。减少了通过通用串行总线 (USB) 连接连接到计算机的 Bluetooth 收发器的电源消耗量。 |
| • | 启动模式键盘。使专门配置的 Bluetooth 键盘可以与 BIOS 一起工作。 |
如果系统上没有 Bluetooth 收发器,则不更改系统的行为。在具有 Windows 硬件质量实验室 (WHQL) 批准的 Bluetooth 设备时,会启用 Bluetooth 支持。
在 启用 Bluetooth 支持时,您可以发现在控制面板的“网络连接”中发生了变化。此外,在控制面板中还添加了一个名为“Bluetooth 设备”的新项。在任务栏通知区域中,您还将发现一个“Bluetooth”图标。单击该图标时,您将看到一个可以执行的 Bluetooth 任务的菜单。还可以启动新增的 Bluetooth 文件传送向导。要完成此操作,请单击“开始”,依次指向“附件”、“通讯”,然后选择“Bluetooth 文件传送向导”。
如果安装了现有的非 Microsoft Bluetooth 驱动程序,则升级到 Windows XP Service Pack 2 不会替换该现有驱动程序。以后可以采用手动或编程的方式进行替换。
有关 Windows XP Service Pack 2 中 Bluetooth 的完整文档,请参阅联机帮助。
客户端管理工具
客户端管理工具的作用是什么?
客 户端管理工具是一组 Microsoft 管理控制台 (MMC) 管理单元,使用这些工具可以管理本地计算机及远程计算机上的用户、计算机、服务和其他系统组件。这些管理单元用于管理的两个系统生成对话框是“选择用户、 计算机或组”和“查找用户、联系人和组”。使用“选择用户、计算机或组”,可以设置共享文件夹的访问控制列表 (ACL)、指定用于重定管理单元目标的远程计算机或管理本地用户和组。使用“查找用户、联系人和组”,可以在“网上邻居”中搜索 Active Directory、在“添加打印机向导”中查找打印机,以及在“Active Directory 用户和计算机”管理单元内的目录中查找对象。
这两个对话框都可以用于在本地计算机或 Active Directory 中查找和选择对象(如用户、计算机、打印机和其他安全主体)。虽然其他应用程序可以使用这些对话框,但是该部分仅涉及此处列出的对客户端管理工具的更改。
这些功能适用于哪些用户对象?
需要使用受影响的管理工具(在下面列出)从远程位置管理 Windows XP 的管理员应该了解这些特性。使用这些工具管理本地计算机的管理员和用户不受影响。
Windows XP Service Pack 2 中对哪些现有功能进行了更改?
远程连接
详细说明
对 于此处列出的用于连接到远程计算机的管理工具,该远程计算机必须允许 TCP 端口 445 上的传入网络流量。但是,Windows XP Service Pack 2 中 Windows 防火墙的默认配置会阻止 TCP 端口 445 上的传入网络传输。因此,您可能会收到以下一条或多条错误消息。在收到以下消息之一时,下面的示例消息中的斜体文本将被替换为适合于错误情况的系统变量:
| • | 无法访问计算机计算机名。该错误是“拒绝访问”。 |
| • | 无法访问计算机计算机名。以前,该错误消息为“未找到网络路径”。 |
| • | 未能打开计算机名上的组策略对象。您可能没有相应的权限。 |
| • | 详细信息:未找到网络路径。 |
| • | 找不到具有以下名称的对象(计算机):“计算机名。”检查所选对象类型和位置是否正确并确保您正确键入了对象名,或者从所选项中删除该对象。 |
| • | 计算机计算机名不能被管理。未找到网络路径。要管理不同的计算机,请在“操作”菜单上,单击“连接到另一台计算机”。 |
| • | 发生 53 系统错误。未找到网络路径。 |
当以下 MMC 管理单元之一用于远程管理时,可能出现这些错误:
| • | 证书 |
| • | 计算机管理 |
| • | 设备管理器 |
| • | 磁盘管理 |
| • | 事件查看器 |
| • | 组策略 |
| • | 索引服务 |
| • | IP 安全监视器 |
| • | IP 安全策略 |
| • | 本地用户和组 |
| • | 可移动存储管理 |
| • | 策略的结果集 |
| • | 服务 |
| • | 共享文件夹 |
| • | WMI 控件 |
除了 MMC 管理单元外,还影响以下对话框和管理工具:
| • | 选择用户、计算机或组 |
| • | 查找用户、联系人和组 |
| • | Net.exe |
如何解决这些问题?
要使用这些工具远程连接运行 Windows XP(已启用 Windows 防火墙)的计算机,您需要在远程计算机上的防火墙中打开 TCP 端口 445。为此,请执行以下过程完成该操作:
| 1. | 单击“开始”,依次指向“所有程序”、“附件”,然后单击“命令提示符”。 |
| 2. | 在命令提示符下,键入 netsh firewall set portopening TCP 445 ENABLE,然后按 Enter。 注意 打开的防火墙端口可能存在安全隐患。对于任何此类的配置更改,在实施之前应该仔细计划和测试。 |
DCOM 安全增强功能
DCOM 的作用是什么?
Microsoft 组件对象模型 (COM) 是独立于平台的分布式面向对象系统,用于创建可以交互作用的二进制软件组件。分布式组件对象模型 (DCOM) 允许将应用程序分布于对您及应用程序最有意义的多个位置。DCOM 有线协议对 COM 组件之间可靠、安全而有效的通信透明地提供支持。有关详细信息,请参阅 Microsoft 网站上的“Component Object Model”,网址是:http://go.microsoft.com/fwlink/?LinkId=20922。
此功能适用于哪些用户对象?
如果仅将 COM 用作进程内 COM 组件,则此功能不适用于您。
如果具有满足以下条件之一的 COM 服务器应用程序,则此功能适用于您:
| • | 运行应用程序的权限比其访问权限要严格。 |
| • | 在运行 Microsoft Windows XP 的计算机上,应用程序通常由远程 COM 客户端(而不使用管理帐户)激活。 |
| • | 默认情况下,在运行 Windows XP 的计算机上,应用程序使用未经验证的远程回调。 |
| • | 只能在本地使用此应用程序。这意味着,您可以限制 COM 服务器应用程序,以免被远程访问。 |
Windows XP Service Pack 2 中对此功能添加了哪些新功能?
计算机范围的限制
详细说明
在 COM 中进行了一项更改,以提供计算机范围的访问控制,从而能够控制对计算机上的所有调用、激活或启动请求的访问。最简单的方法是将这些访问控制考虑为附加的 AccessCheck 调用,此调用依据计算机范围的访问控制列表 (ACL) 对计算机上的 COM 服务器的每次调用、激活或者启动都会执行。如果 AccessCheck 失败,则将拒绝调用、激活或启动请求。(这补充了针对服务器特定的 ACL 运行的 AccessCheck。)实际上,它提供访问计算机上的任何 COM 服务器所必须传递的最低授权标准。将有一个用于启动权限的计算机范围 ACL 来涵盖激活和启动权限,还有一个用于访问权限的计算机范围 ACL 来涵盖调用权限。通过组件服务 Microsoft 管理控制台 (MMC) 可以配置这些设置。
这些计算机范围的 ACL 提供了这样一种方法:通过 CoInitializeSecurity 或应用程序特定的安全设置替代特定应用程序所指定的弱安全性设置。这样就提供了必须传递的最低安全标准,而不管特定服务器的设置是什么。
在访问 RPCSS 所公开的接口时,将检查这些 ACL。这样,就提供了一种控制谁可以访问该系统服务的方法。
这些 ACL 提供一个集中的位置,管理员可以在这里设置适用于计算机上的所有 COM 服务器的通用授权策略。
默认情况下,Windows XP 计算机的限制设置包括:
| 权限 | Administrator | Everyone | Anonymous |
| 启动 | 本地(启动) 本地激活 远程(启动) 远程激活 | 本地(启动) 本地激活 |
|
| 访问 |
| 本地(调用) 远程(调用) | 本地(调用) |
为什么此更改非常重要?它有助于缓解哪些威胁?
许多 COM 应用程序包括一些安全特定的代码(例如,调用 CoInitializeSecurity),但是使用弱安全性设置,通常会允许在未经验证的情况下访问该进程。目前,管理员无法替代这些设置,以便在早期版本的 Windows 中实施更强的安全性。
COM 基础结构包括 RpcSs,后者是在系统启动过程中运行(且在此后始终运行)的系统服务。它管理 COM 对象的激活和运行对象表,并为 DCOM 远程处理提供帮助器服务。它公开可被远程调用的 RPC 接口。因为一些 COM 服务器允许未经验证的远程访问(如上一部分所述),所以任何人(包括未经身份验证的用户)都可以调用这些接口。因此,恶意用户可以使用未经验证的远程计算 机攻击 RpcSs。
在早期版本的 Windows 中,管理员无法了解计算机上 COM 服务器的公开级别。通过系统地检查为计算机上的所有已注册 COM 应用程序配置的安全设置,管理员可能会了解公开级别,但由于在默认安装的 Windows XP 中有大约 150 个 COM 服务器,所以该任务往往使人望而却步。除非查看软件的源代码,否则无法在该软件中查看包含安全性的服务器的设置。
DCOM 计算机范围的限制缓解了这三个问题。它还使管理员能够禁用传入的 DCOM 激活、启动和调用。
哪些功能发生变化?
默认情况下,将授予 Everyone 组本地启动、本地激活和本地调用权限。这样,无须修改软件或操作系统,就应该使得所有本地方案正常工作。
默认情况下,会授予 Everyone 组远程调用权限。这将允许大多数 COM 客户端方案,包括 COM 客户端将本地引用传递到远程服务器,实际上是将客户端转变为服务器的常见情况。这可能禁止需要未经验证的远程调用的方案。
同样,在默认情况下,只有 Administrators 组才被授予远程激活和启动权限。这样,就禁止非管理员远程激活已安装的 COM 服务器。
如何解决这些问题?
如果实现一个 COM 服务器,并期望支持由非管理 COM 客户端或未经验证远程调用的远程激活,则应该考虑是否可以接受与启用该进程相关联的风险,或者是否应该修改您的实现,使其不要求由非管理 COM 客户端或未经验证远程调用的远程激活。
如果您可以接受该风险,并且希望启用由非管理 COM 客户端或未经验证远程调用的远程激活,则将需要更改该功能的默认配置。
可以使用组件服务 Microsoft 管理控制台 (MMC) 或 Windows 注册表来更改配置设置。
如 果使用组件服务 MMC 管理单元,这些设置可以在您所管理的计算机的“属性”对话框的“COM 安全”选项卡上进行配置。通过对“访问权限”区域的修改,除了可以设置 COM 服务器的标准默认设置外,您还可以设置计算机范围限制。另外,还可以为本地和远程访问提供在限制和默认设置两种情况下的单独的 ACL 设置。
在“启动和激活权限”区域中,您可以控制本地和远程权限以及计算机范围的限制和默认设置。安全设置提供了单独指定本地与远程激活和启动权限的能力。
作为另一种选择,您还可以使用注册表配置这些 ACL 设置。
这些 ACL 存储在注册表中的以下位置:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole
/MachineAccessRestriction= ACL
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole
/MachineLaunchRestriction= ACL
这是一个设置为 REG_BINARY 类型的命名值,它包含一些数据,描述可以访问计算机上的任何 COM 类或 COM 对象的主体的 ACL。ACL 中的访问权限如下:
COM_RIGHTS_EXECUTE 1
COM_RIGHTS_EXECUTE_LOCAL 2
COM_RIGHTS_EXECUTE_REMOTE 4
COM_RIGHTS_ACTIVATE_LOCAL 8
COM_RIGHTS_ACTIVATE_REMOTE 16
使用普通的安全功能可以创建这些 ACL。请注意,COM_RIGHTS_EXECUTE 权限必须始终存在,因为缺少该权限将生成无效的安全描述符。
只有具有管理员权限的用户才能修改这些设置。
Windows XP Service Pack 2 中对哪些现有功能进行了更改?
RPCSS 作为网络服务运行
详细说明
在 Windows XP SP2 中,RPCSS 是 RPC 终结点映射程序和 DCOM 基础结构的关键服务。该服务在以前版本的 Windows 中作为“本地系统”运行。为了减小 Windows 的攻击面并提供深层防御,RPCSS 服务功能被拆分成两个服务。RPCSS 服务(包括不需要“本地系统”特权的所有原始功能)现在运行在“网络服务”帐户下。新增 DCOMLaunch 服务(包括需要“本地系统”特权的功能)运行在“本地系统”帐户下。
为什么此更改非常重要?
由于目前 RPCSS 服务中特权提升被限制为“网络服务”特权,因此该更改减小了攻击面并为 RPCSS 服务提供了深层防御。
哪些功能发生变化?
对于用户来说,此更改应该是透明的,因为 Windows XP Service Pack 2 中 RPCSS 和 DCOMLaunch 服务的组合等价于以前版本的 Windows 中提供的原来的 RPCSS 服务。
多个特定的 COM 权限
详细说明
COM 服务器应用程序具有两种类型的权限:“启动权限”和“访问权限”。启动权限控制 COM 激活过程中启动 COM 服务器(如果该服务器尚未运行)的授权。这些权限被定义为安全描述符,在注册表设置中指定。访问权限控制调用正在运行的 COM 服务器的授权。这些权限被定义为通过 CoInitializeSecurity API 或使用注册表设置提供给 COM 基础结构的安全描述符。启动权限和访问权限都基于主体允许或拒绝访问,而不区分对于服务器而言调用方是本地的还是远程的。
另一更改是基于距离区分 COM 访问权限。定义的两种距离是“本地”和“远程”。本地 COM 消息经由本地远程过程调用 (LRPC) 协议到达,而远程 COM 消息经由类似传输控制协议 (TCP) 的远程过程调用 (RPC) 主机协议到达。
COM 激活是指通过调用 CoCreateInstance 或它的一个变体,在客户端上获取 COM 接口代理的操作。有时必须启动 COM 服务器才能满足客户端的请求,这是该激活过程的一个副作用。启动权限 ACL 决定允许谁启动 COM 服务器。在 COM 服务器运行之后,访问权限 ACL 决定允许谁激活 COM 对象或调用该对象。
另一更改是将调用权限和激活权限分开以反映两个不同的操作,并将激活权限从访问权限 ACL 移至启动权限 ACL。由于激活和启动均与获得接口指针有关,因此激活和启动访问权限在逻辑上都属于一个 ACL。而且,因为您始终通过配置指定启动权限(而访问权限通常是通过编程指定的),所以将激活权限放在启动权限 ACL 中,管理员就可以控制激活。
启动权限 ACE 分为四种访问权限:
| • | 本地启动 (LL) |
| • | 远程启动 (RL) |
| • | 本地激活 (LA) |
| • | 远程激活 (RA) |
访问权限安全描述符分为两种访问权限:
| • | 本地调用 (LC) |
| • | 远程调用 (RC) |
该 COM 安全性允许管理员应用非常特定的安全配置。例如,可以配置 COM 服务器以使其接受来自每个用户的本地调用,但仅接受来自管理员的远程调用。这些区别可以通过更改 COM 权限安全描述符进行指定。
为什么此更改非常重要?它有助于缓解哪些威胁?
早期版本的 COM 服务器应用程序只有通过 DCOM 方式在网络上公开该应用程序,才能将应用程序限制为只能在本地使用。当用户可以访问 COM 服务器应用程序时,他们既可以在本地访问,也可以远程访问。
COM 服务器应用程序可能需要将自身公开给未经身份验证的用户,以实现 COM 回调方案。在该方案中,应用程序还必须将其激活公开给未经身份验证的用户,这可能是不希望的,因为恶意用户可能会使用该方案获得对该服务器的未经授权的访问。
通过精确的 COM 权限,管理员可以灵活地控制计算机的 COM 权限策略。对于所述的方案,这些权限将实现安全性。
哪些功能发生变化?是否存在任何依赖性?
为了提供向后兼容性,将现有的 COM 安全描述符解释为同时允许或拒绝本地和远程访问。也就是说,访问控制项 (ACE) 将同时允许本地和远程访问,或同时拒绝本地和远程访问。
对 于调用或启动权限,不存在任何向后兼容性问题。但是,有一个激活权限兼容性问题。如果在 COM 服务器的现有安全描述符中,已配置的启动权限比访问权限的限制性更强,并且比客户端激活方案最低需求的限制性更强,则必须修改启动权限 ACL,以便将适当的权限授予已授权的客户端。
对于使用默认安全设置的 COM 应用程序,没有兼容性问题。对于使用 COM 激活动态启动的应用程序,其中的大多数都不存在兼容性问题,因为启动权限必须已经包括能够激活对象的任何人。如果这些权限配置不当,则当无启动权限的调用 方在 COM 服务器尚未运行的情况下试图激活对象时,可能出现随机的激活失败。
最可能出现兼容性问题的应用程序是这样的 COM 应用程序:它们已经通过某个其他机制(如 Windows 资源管理器或服务控制管理器)启动。您也可以通过以前的 COM 激活启动这些应用程序,这将替代默认的访问权限和启动权限,并指定比调用权限限制性更强的启动权限。有关处理该兼容性问题的更多详细信息,请参阅下一部分 中的“如何解决这些问题?”。
如果将已升级到 Windows XP Service Pack 2 的系统降级到更早的 Service Pack,则被编辑为允许本地访问、远程访问或这两个功能的任何访问控制项都将被解释为同时允许本地和远程访问。被编辑为拒绝本地访问、远程访问或这两个 功能的任何访问控制项都将被解释为同时拒绝本地和远程访问。只要卸载 Service Pack,就应该确保不会有新设置的 ACE 导致应用程序停止工作。
如何解决这些问题?
如果您实现一个 COM 服务器并替代默认的安全设置,请确认应用程序特定的启动权限 ACL 将激活权限授予了适当用户。否则,将需要更改应用程序特定的启动权限 ACL,以将激活权限授予适当用户,从而避免使用 DCOM 的应用程序和 Windows 组件失败。这些应用程序特定的启动权限存储在注册表中。有关启动权限的详细信息,请参阅 MSDN 网站上的“LaunchPermission”,网址是:http://go.microsoft.com/fwlink/?LinkId=20924。
使用普通的安全功能可以创建或修改 COM ACL。
Windows XP Service Pack 2 中添加或更改了哪些设置?
警告 不正确地使用这些设置可能导致使用 DCOM 的应用程序和 Windows 组件失败。
在下表中,将会使用以下缩写:
LL - 本地启动
LA - 本地激活
RL - 远程启动
RA - 远程激活
LC - 本地控制
RC - 远程控制
| 设置名称 | 位置 | 以前的默认值 | 默认值 | 可能值 |
| MachineLaunch | HKEY_LOCAL_MACHINE | Everyone - LL、LA、RL、RA Anonymous - LL、LA、RL、RA (这是一个新注册表项。根据现有行为,这些值应该是有效值。) | Administrator - LL、LA、RL、RA | ACL |
| MachineAccess | HKEY_LOCAL_MACHINE | Everyone - LC、RC Anonymous - LC、RC (这是一个新注册表项。根据现有行为,这些值应该是有效值。) | Everyone - LC、RC Anonymous - LC | ACL |
| CallFailure | HKEY_LOCAL_MACHINE | 不适用。 | 该注册表项不存在,但是,缺少的项或值被解释为 2。 默认情况下,不记录该事件。如果将该值更改为 1,以便开始记录该信息帮助您解决问题,请确保监视事件日志的大小,因为这是可以生成大量项的事件。 | 1 - 在 COM 服务器进程中的调用期间,始终记录事件日志失败。 2 - 在调用服务器进程中的调用期间,从不记录事件日志失败。 |
| InvalidSecurity | HKEY_LOCAL_MACHINE | 不适用。 | 该注册表项不存在,但是,缺少的项或值被解释为 1。 默认情况下,记录该事件。它应该很少发生。 | 1 - 当 COM 基础结构发现无效安全描述符时,始终记录事件日志失败。 2 - 当 COM 基础结构发现无效安全描述符时,从不记录事件日志失败。 |
| DCOM:安全描述符定义语言 (SDDL) 语法中的计算机启动限制 | (组策略对象)计算机配置/Windows 设置 | 不适用。 | 未定义 | SDDL 格式的访问控制列表。如果存在该策略,则将替代上述 MachineLaunch |
| DCOM:安全描述符定义语言 (SDDL) 语法中的计算机访问限制 | (组策略对象)计算机配置/Windows 设置/本地策略/安全选项 | 不适用。 | 未定义 | SDDL 格式的访问控制列表。如果存在该策略,则将替代上述 MachineAccess |
TCP/IP
TCP/IP 的作用是什么?
传输控制协议/Internet 协议 (TCP/IP) 是通过网络连接计算机的一组标准协议。TCP/IP 可以使基于 Windows 的计算机与其他 Microsoft 和非 Microsoft 系统进行连接和共享信息。
此功能适用于哪些用户对象?
使用 TCP/IP 通过网络进行连接和传递信息的所有用户都应该了解合并到 Windows XP Service Pack 2 中的更改。
Windows XP Service Pack 2 中对此功能添加了哪些新功能?
原始套接字上的受限通讯
详细说明
只 有极少数的 Windows 应用程序利用原始 IP 套接字,通过 TCP/IP 堆栈创建带有较少完整性和安全性检查的 TCP/IP 包,为应用程序提供了一种工业标准的方法。TCP/IP 的 Windows 实现仍然支持接收原始 IP 套接字上的通讯。但是,通过原始套接字发送通讯的能力已经在以下两方面受到了限制:
| • | TCP 数据无法通过原始套接字进行发送。 |
| • | 带有无效源地址的 UDP 数据报无法通过原始套接字进行发送。任何传出 UDP 数据报的 IP 源地址必须存在于网络接口上,否则该数据报就会被丢弃。 |
为什么此更改非常重要?它有助于缓解哪些威胁?
此更改限制了恶意代码创建分布式拒绝服务攻击的能力,并且限制了发送欺骗的数据包的能力,这些数据包是带有伪造的源 IP 地址的 TCP/IP 数据包。
限制同时进行未完成的出站 TCP 连接的尝试次数
详细说明
现 在,TCP/IP 堆栈限制同时进行未完成的出站 TCP 连接的尝试次数。在达到该限制后,随后的连接尝试会放置到队列中,并将以固定的速率进行解析。在正常的操作下,当应用程序连接到有效 IP 地址的可用主机时,不会发生连接速率限制。当它确实发生时,带有 ID 4226 的新事件会出现在系统的事件日志中。
为什么此更改非常重要?它有助于缓解哪些威胁?
此 更改有助于限制恶意程序(例如病毒和蠕虫)传播到未受感染计算机的速度。恶意程序通常会通过打开同时到随机 IP 地址的连接来试图访问未受感染的计算机。其中的大多数随机地址都会产生失败的连接,因此如果某个计算机上存在大量这样的活动,则表示它可能已经被恶意程序 感染。
哪些功能发生变化?
此更改可能会导致某些安全工具(例如端口扫描程序)运行变慢。
如何解决这些问题?
停止导致连接尝试失败的应用程序。
Winsock 自愈功能
详细说明
Winsock 作为应用程序的 Windows 的网络套接字工具,可以由称为“分层服务提供商 (LSP)”的机制进行扩展。Winsock LSP 可用于非常广泛的实用用途,包括 Internet 家长控制 (parental control) 和 Web 内容筛选。在以前版本的 Windows XP 中,删除不正确的(也称为“buggy”)LSP 可能会导致注册表中的 Winsock 目录损坏,潜在地导致所有网络连接的丢失。现在,用户卸载这样的 LSP 后,Winsock 具有自愈的能力。
为什么此更改非常重要?它有助于缓解哪些威胁?
客户需要能够从他们的系统中安全地删除实施较差的 LSP。
新增的 Winsock Netsh 命令
详细说明
Windows XP Service Pack 2 中有两个新增的 Netsh 命令。
| • | netsh winsock reset catalog 该命令将 Winsock 目录重置为默认配置。如果安装了可导致网络连接丢失的不正确的 LSP,该命令会很有用。尽管使用该命令可以还原网络连接,但应该慎重使用,因为以前安装的 LSP 都将需要重新安装。 |
| • | netsh winsock show catalog 该命令会显示安装在计算机上的 Winsock LSP 列表。 |
为什么此更改非常重要?它有助于缓解哪些威胁?
这些命令为维护 Winsock LSP 和排解 Winsock LSP 的问题提供了额外的管理功能,并且可以用于脚本中以协助从大范围的不正确的 LSP 安装中进行还原。
RPC 接口限制
RPC 接口限制的作用是什么?
在 Windows XP Service Pack 2 中,对远程过程调用 (RPC) 服务进行了许多更改,这样有助于在默认情况下确保 RPC 接口的安全性和减小 Windows XP 的攻击面。最重要的更改是添加了 RestrictRemoteClients 注册表项。该项修改系统上所有 RPC 接口的行为,并且在默认情况下避免对系统上 RPC 接口的远程匿名访问(但有一些例外)。其他更改包括 EnableAuthEpResolution 注册表项和三个新增的接口注册标志。
此功能适用于哪些用户对象?
该功能适用于 RPC 应用程序开发人员。系统管理员也应该熟悉对 RPC 进行的这一更改。
Windows XP Service Pack 2 中对此功能添加了哪些新功能?
RestrictRemoteClients 注册表项
详细说明
当使用 RpcServerRegisterIf 注册接口时,RPC 允许服务器应用程序限制对该接口的访问(通常通过安全回调)。RestrictRemoteClients 注册表项强制 RPC 对所有接口执行额外的安全检查,即使接口没有已注册的安全回调也是如此。
使用命名管道协议序列 (ncacn_np) 的 RPC 客户端不受该部分中讨论的所有限制的影响。由于存在几个严重的向后兼容性问题,因此默认情况下不能限制命名管道协议序列。
RestrictRemoteClients 注册表项可以包含三个 DWORD 值中的一个,这些值也可以借助编程方式在 rpcdce.h 中进行控制。如果该项不存在,则它等价于设置 DWORD=1 值 (RPC_RESTRICT_REMOTE_CLIENT_DEFAULT)。
项参考
项名:RestrictRemoteClients
类型:DWORD
可通过用户界面进行配置:Yes。该项可以使用“组策略对象编辑器”进行配置。
默认值:1
含义:该值是 Windows XP Service Pack 2 中的默认值。限制对所有 RPC 接口的访问。RPC 运行时拒绝所有的远程匿名调用。它对应于 rpcdce.h 中的值 RPC_RESTRICT_REMOTE_CLIENT_DEFAULT。如果某个接口注册了安全回调并提供 RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH 标志,那么此限制不会应用到该接口。
值:0
含义:可使系统避开 RPC 接口限制。它对应于 rpcdce.h 中的值 RPC_RESTRICT_REMOTE_CLIENT_NONE。施加相应的 RPC 限制完全是服务器应用程序的责任。该设置与以前版本 Windows 中的行为等效。
值:2
含义:RPC 运行时拒绝所有的远程匿名调用,不会有任何例外情况。它对应于 rpcdce.h 中的值 RPC_RESTRICT_REMOTE_CLIENT_HIGH。如果设置了该值,系统将无法接收使用 RPC 的远程匿名调用。
为什么此更改非常重要?它有助于缓解哪些威胁?
如果您要求调用执行身份验证(甚至是级别相对较低的身份验证),则接口将更难于攻击。对于缓解依赖于可利用缓冲区溢出(可以通过匿名连接进行远程调用)的蠕虫的攻击,这是特别有用的。
哪些功能发生变化?
如果 RPC 应用程序期望从远程匿名 RPC 客户端接收调用,则该更改可能不允许应用程序正常运行。因此,如果设置了这个值,则使用 DCOM 的应用程序可能无法正常运行。
与 通过面向连接的协议进行调用相比,通过无连接协议 [例如 UDP 和 IPX(ncadg_ip_udp 和 ncadg_ipx)] 进行的安全 RPC 调用使用的安全性级别更低,所以出于该策略的目的,这些协议始终被认为是不安全的。因此,在 Windows XP SP2 中,默认情况下,通过无连接协议进行的 RPC 调用将会失败。
要允许使用无连接协议的 RPC 客户端调用,请将 RestrictRemoteClients 值设置为 0 (RPC_RESTRICT_REMOTE_CLIENT_NONE)。
如何解决这些问题?
可以选择以下三种方法解决这些问题。这些方法按优先顺序列出。
| • | 要求 RPC 客户端在与服务器应用程序进行通信时使用 RPC 安全性。这是缓解安全威胁的最佳方法。 |
| • | 通过在接口注册期间设置 RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH 标志,使接口不要求身份验证。这样,就会将 RPC 配置为仅允许匿名连接到应用程序的接口。 |
| • | 通过将该注册表项设置为 RPC_RESTRICT_REMOTE_CLIENT_NONE (0),强制 RPC 显示与早期版本 Windows 相同的行为。之后,RPC 将接受到所有接口的匿名连接。如有可能,应该避免使用该方法,因为它会降低计算机的总体安全性。 |
EnableAuthEpResolution 注册表项
详细说明
在 Windows XP 上,默认情况下可以远程匿名访问并注册的 RPC 接口将产生严重的攻击面。RPC 本身必须注册这样的接口,以便为使用动态终结点的调用提供终结点解析。
通过添加 RestrictRemoteClients 标志,默认情况下 RPC 终结点映射程序接口是无法匿名访问的。这是一项重大的安全改进,但是它改变了解析终结点的任务。当前,尝试使用动态终结点发出调用的 RPC 客户端将首先查询服务器上的 RPC 终结点映射程序以确定它应该连接到的终结点。该查询是匿名执行的,即使 RPC 客户端调用本身是使用 RPC 安全性执行的。
由于新增 RestrictRemoteClients 项的默认值,默认情况下,在 Windows XP Service Pack 2 上对 RPC 终结点映射程序接口的匿名调用将失败。这样,就需要修改 RPC 客户端运行时,使其执行对终结点映射程序的身份验证查询。如果设置了 EnableAuthEpResolution 项,则 RPC 客户端运行时将使用 NTLM 对终结点映射程序进行身份验证。仅当实际的 RPC 客户端调用使用 RPC 身份验证时,该身份验证查询才会发生。
为什么此更改非常重要?
要允许 RPC 客户端向在运行 Windows XP Service Pack 2 的系统上已经注册动态终结点的 RPC 服务器发出调用,就需要该更改。客户端计算机必须设置该注册表项,以便它可以执行对 RPC 终结点映射程序的身份验证查询。
哪些功能发生变化?
该注册表项用于实现上一部分中所述的特定方案。当打开该项时,代表已验证的调用执行的所有 RPC 终结点映射程序查询都是使用 NTLM 身份验证执行的。
还可以使用“组策略对象编辑器”配置位于“计算机配置/管理模板/系统/远程过程调用/RPC 终结点映射程序客户端身份验证”中的组策略对象来指定该设置。
新增的 RPC 接口注册标志
详细说明
创建了三个新的接口注册标志,这样应用程序开发人员就可以更轻松地保护 RPC 接口安全。
| • | RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH 注册该标志后,RPC 运行时调用所有调用的已注册安全回调,而不管调用的安全设置是什么。如果没有该标志,RPC 将在所有未经验证的调用到达安全回调之前拒绝它们。该标志仅在注册了安全回调时才起作用。 |
| • | RPC_IF_SEC_NO_CACHE 为接口注册一个安全回调,目的是为了限制对该接口的访问。典型的安全回调模拟客户端以确定客户端是否具有足够的权限向接口发出调用。如果特定客户端身份传递了安全回调一次,则它通常会每次都传递同一安全回调。 RPC 运行时通过记住单个客户端身份传递安全回调的时间,以及跳过该客户端对同一接口的后续调用的安全回调的时间,来利用该模式。该特性称为“安全回调缓存”, 自 Windows 2000 以来就存在。对于 Windows XP Service Pack 2,您可以使用 RPC_IF_SEC_NO_CACHE 标志禁用给定接口的安全回调缓存。在因安全检查更改而可能拒绝以前允许的客户端身份时,此特性非常有用。 |
| • | RPC_IF_LOCAL_ONLY 使用该标志注册接口后,RPC 将拒绝远程 RPC 客户端发出的调用。此外,通过所有 ncadg_* 协议序列和所有 ncacn_* 协议序列(使用 ncacn_np 的命名管道除外)的本地调用也将被拒绝。如果调用是在 ncacn_np 上发出的,则 RPC 仅允许该调用(如果它不是来自筛选掉所有远程调用的 SVR)。Ncalrpc 调用总是允许通过的。 |
为什么此更改非常重要?
该更改为 RPC 应用程序开发人员提供了其他安全工具,以帮助保护其 RPC 接口。
哪些功能发生变化?
这些标志将不更改任何现有的 Windows XP 应用程序,否则将导致它无法运行正常。是否使用这些新标志由应用程序开发人员决定。
Windows XP Service Pack 2 中添加或更改了哪些设置?
| 设置名称 | 位置 | 默认值 | 可能值 |
| Restrict | HKEY_LOCAL_MACHINE -或者- (组策略对象) 计算机配置/管理模板/系统/远程过程调用/用于未验证的 RPC 客户端的限制 | 1 - 默认值 | 0 - 无 1 - 默认值 2 - 高 |
| EnableAuthEp | HKEY_LOCAL_MACHINE -或者- (组策略对象) 计算机配置/管理模板/系统/远程过程调用/用于未验证的 RPC 客户端的限制 | 0 - 禁用 | 0 - 禁用 1 - 启用 |
是否需要更改代码才能使用 Windows XP Service Pack 2?
您可能需要更改代码才能使用 Windows XP Service Pack 2。有关可能需要进行的应用程序更改的详细信息,请参阅前面有关 RestrictRemoteClients 和 EnableAuthEpResolution 的部分。
WebDAV 重定向程序
WebDAV 重定向程序的作用是什么?
WebDAV 重定向程序 (DAVRdr) 允许运行 Windows XP 的计算机使用 WebDAV(基于 Web 的分布式创作和版本控制)服务器,如 Windows SharePoint Services 和 MSN Communities,就好像它们是标准的文件服务器。它包括一个核心组件和一个用户级组件(Web 客户端服务),前者连接到 Windows NT 远程文件系统堆栈,后者将文件系统请求转换为 WebDAV 请求。
此功能适用于哪些用户对象?
该特性由通过远程文件系统访问 WebDAV 服务器的人员使用。WebDAV 重定向程序是在远程文件系统堆栈中实现的。客户端管理员和关心其计算机凭据安全性的用户需要了解:对 WebDAV 服务器上、遵循通用命名约定 (UNC)(例如,//服务器名/共享名称/File.txt)的远程文件的每次访问都将由 WebDAV 重定向程序处理。
Windows XP Service Pack 2 中对此功能添加了哪些新功能?
禁用通过明文通道的基本身份验证
详细说明
WebDAV 是超文本传输协议 (HTTP) 的扩展,因此包括“基本身份验证”(BasicAuth) 的使用。BasicAuth 是一种用户身份验证的形式,或者向服务器安全地验证用户身份的方法。使用 BasicAuth,客户端可以将用户的凭据(用户名和密码)传输到服务器。如果通道未加密(如在正常的 HTTP 通信中),则网络上的任何计算机都可以看到用户的用户名和密码,因此可以盗窃他们的标识。DAVRdr 不支持加密的 HTTP(HTTPS 或 SSL),而且如果服务器支持基本身份验证,它会将用户的凭据以明文(或不加密)传输。虽然服务器最不可能配置为使用基本身份验证,但是有可能特意设置服 务器以获得用户凭据。
由于存在该可能性,因此 Windows XP Service Pack 2 (SP) 添加了允许或禁止 DAVRdr 使用基本身份验证的功能。默认情况下,在 SP2 中禁止使用 BasicAuth。当禁用 BasicAuth 时,客户端将使用其他(受服务器支持的)身份验证方法或者不处理请求。
为什么此更改非常重要?
用户可以登录到 WebDAV 服务器,以便远程访问文件,而不必担心以明文传输其密码。
它有助于缓解哪些威胁?
假 设 Contoso Corporation 的一个公司用户经常访问公司外部公用网络上的文件共享 //Contoso_Server/Sales,并将尝试访问该共享的应用程序用作常规后台活动的一部分。由于该用户的便携式计算机在企业网络之外,因此 请求应该失败。但是,DAVRdr 会传输请求以确定是否存在名为 Contoso_Server 的 DAV 服务器,即使该便携式计算机正尝试访问的实际服务器是 SMB 服务器。
攻击者可能使用该公用网络上的计算机进行操作,以欺骗 WINS 请求,将指针返回给自己,作为对任何 WINS 请求的响应。之后,该便携式计算机将尝试访问此 rogue 服务器上的 DAV 共享。如果 rogue 服务器将 BasicAuth 作为身份验证方法进行响应,将出现一个对话框,要求用户输入凭据。该对话框将服务器标识为 Contoso_Server,导致用户相信请求是合法的。如果用户输入其用户名和密码,则客户端会将该信息以明文传输,这样攻击者就可以访问该用户的登 录信息。这里没有向用户指出:通道是不安全的,请求是由 DAVRdr 处理的,或者便携式计算机将以明文形式传输用户名和密码。请注意,当前的默认 Windows 身份验证方法从不以明文传输用户的密码。
哪些功能发生变化?
由于对默认行为的更改仅影响 DAVRdr,因此只有那些要求基本身份验证的方案和使用 DAVRdr 的方案无法工作。一个示例是使用 Notepad.exe 访问仅允许 BasicAuth 的网站。该方案将无法再度实现。而且,即使将服务器配置为仅使用基本身份验证,其他应用程序(如 Office)也将继续运行,因为它们使用其他的 DAV 客户端。
如何解决这些问题?
可以通过添加以下注册表项并将它设置为非零值,来启用 BasicAuth:
HKEY_LOCAL_MACHINE/SYSTEM
/CurrentControlSet/Services /WebClient/Parameters/UseBasicAuth (DWORD)
如果删除该注册表项或将它设置为 0,则回复为默认行为,或者禁止使用 BasicAuth。
WININET:禁用通过明文通道的基本身份验证
详细说明
由 于 DAVRdr 是远程文件系统堆栈的一部分,因此每当尝试远程访问文件时,计算机就可能受到攻击。虽然对使用 Internet API 的其他应用程序的威胁比对 DAVRdr 小,但是每当应用程序(或用户)尝试访问 URL 时,都可能发生类似的攻击。因此,WinInet 将 DAVRdr 禁用 BasicAuth 的机制公开给 Internet API 的其他用户。
在 Windows XP Service Pack 2 中,有两种方法可以阻止通过明文(或未加密)通道使用基本身份验证:
| • | 创建以下注册表项并将它设置为非零值。 HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows /CurrentVersion/ Internet Settings/DisableBasicOverClearChannel (DWORD) 除非通道是安全的(HTTPS 或 SSL),否则这将阻止 WININET 尝试使用 BasicAuth。 |
| • | 应 用程序可以对其连接禁用 BasicAuth,方法是使用 INTERNET_OPTION_AUTH_FLAGS 将调用时所提供的值中的 AUTH_FLAG_DISABLE_BASIC_CLEARCHANNEL flag (0x4) 设置为 InternetSetOption。 |
为什么此更改非常重要?
用户可以登录到 WebDAV 服务器,以便远程访问文件,而不必担心以明文传输其密码。
它有助于缓解哪些威胁?
假 设一个公司用户经常访问网站 http://www.contoso.com/sales。当在公司外的公用网络上时,该用户尝试使用 Internet Explorer 访问该站点。由于便携式计算机在公司之外,因此请求应该失败,并显示消息“未找到服务器”。攻击者可能使用该公用网络上的计算机进行操作,以欺骗 WINS 请求,将指针返回给自己,作为对任何 WINS 查找的响应。之后,便携式计算机将尝试发送从 rogue 服务器加载页面的 HTTP 请求。如果 rogue 服务器将 BasicAuth 作为身份验证方法进行响应,则便携式计算机将对用户作出响应,要求提供其凭据。它将标识站点 http://www.contoso.com/sales,导致用户相信请求是合法的。如果用户输入其用户名和密码,则客户端将会以明文传输该信息,这 样攻击者就可以访问该用户的登录信息。特别是这里没有向用户指出:通道是不安全的,或者便携式计算机将以明文传输用户名和密码。
哪些功能发生变化?
默认情况下,WININET 应用程序的行为没有改变(上面说明的 DAVRdr 除外)。如果禁用该设置,则用户无法连接到仅支持基本身份验证的 HTTP 服务器。
Windows XP Service Pack 2 中添加或更改了哪些设置?
| 设置名称 | 位置 | 以前的默认值(如果适用) | 默认值 | 可能值 |
| UseBasicAuth | HKEY_LOCAL_MACHINE | 不适用。 | 该项不存在 (对 DAVRdr 禁用 BasicAuth) | 0,非零 |
| DisableBasicOver | HKCU/SOFTWARE /Microsoft /Windows /CurrentVersion /Internet Settings /DisableBasicOver | 不适用。 | 该项不存在(对其余任何应用程序启用 BasicAuth) | 0,非零 |
是否需要更改代码才能使用 Windows XP Service Pack 2?
不必进行更改。编写使用 Internet API 并希望禁用 BasicAuth 的应用程序(如 DAVRdr)的开发人员,可以添加对 InternetSetOptions() 的调用。
Windows 防火墙
Windows 防火墙的作用是什么?
Windows 防火墙(以前称为 Internet 连接防火墙或者 ICF)是一个用于 Microsoft Windows XP 的基于软件的状态筛选防火墙。Windows 防火墙阻止那些通过 TCP/IP 版本 4 (IPv4) 或 TCP/IP 版本 6 (IPv6) 未经请求的传入通讯,向连接到网络的计算机提供保护。配置选项包括:
| • | 配置和启用基于端口的例外 |
| • | 配置和启用基于程序的例外 |
| • | 配置基本的 ICMP 选项 |
| • | 记录丢弃的数据包和成功的连接 |
此功能适用于哪些用户对象?
该功能适用于
| • | 连接到网络(包括 Internet)的所有计算机 |
| • | 在网络上侦听的所有程序(应用程序和服务) |
| • | 未使用监控状态筛选的所有程序 |
Windows XP Service Pack 2 中对此功能添加了哪些新功能?
默认打开
详细说明
默 认情况下,对于所有网络接口 Windows 防火墙都处于打开状态。这在默认情况下为新安装和升级的 Windows XP 提供了更多的网络保护。当新的网络连接添加到系统中时,“默认打开”也对其提供保护。这同时适用于 IPv4 和 IPv6 通讯,即使系统上已经存在另一防火墙,也会启用它。
为什么此更改非常重要?它有助于缓解哪些威胁?
在 Windows XP Service Pack 2 之前,Windows XP 附带的 Internet 连接防火墙默认情况下是禁用的。用户需要运行向导,或者在“网络连接”文件夹中导航以手动启用 Windows 防火墙。此过程为许多用户带来了过多的困难,并且会导致许多计算机没有任何防火墙保护。
通过默认启用 Windows 防火墙,计算机获得了更多的保护,可以防止许多基于网络的攻击。例如,如果 Windows 防火墙已默认启用,则无论用户是否安装了最新的修补程序,最新的 MSBlaster 攻击的影响都会大大削弱。
哪些功能发生变化?
安装 Windows XP Service Pack 2 后,默认情况下 Windows 防火墙处于启用状态。如果默认情况下应用程序不使用监控状态筛选,则可能将造成应用程序的不兼容。
如何解决这些问题?
对于将应用程序修改为使用 Windows 防火墙,本文档后面的“是否需要更改代码才能使用 Windows XP Service Pack 2?”对此进行了详细说明。
启动时安全
详细说明
在 早期版本的 Windows 中,在出现网络堆栈和 Internet 连接防火墙提供保护之间存在一段时间间隔。这会导致数据包能够不经 Internet 连接防火墙提供筛选被接收并被传送到服务,因此有可能使计算机受到攻击。这是由于在加载防火墙用户模式服务并应用适当策略之后,防火墙驱动程序才开始进行 筛选。防火墙服务有许多依赖项。在防火墙服务将策略推送到驱动程序之前,这些依赖项可以导致服务一直等待,直到它们被清除为止。该时间段取决于计算机的速 度。
在 Windows XP Service Pack 2 中,IPv4 和 IPv6 防火墙驱动程序有一个用于执行状态筛选的静态规则。该静态规则称为“启动时策略”。这样,计算机就可以执行基本网络任务(如 DNS 和 DHCP),以及与域控制器进行通信以获得策略。在 Windows 防火墙服务运行后,它会加载和应用运行时策略并删除启动时筛选器。无法配置启动时策略。
如果 Windows 防火墙服务 [ 在“服务控制管理器”中列为“Windows 服务器/Internet 连接共享 (ICS)”] 停止并设置为“手动”或“禁用”,则没有启动时安全。
为什么此更改非常重要?它有助于缓解哪些威胁?
在进行该更改后,计算机在启动和关闭期间可能受到的攻击更少。
哪些功能发生变化?
在 Windows 防火墙服务未能启动时,启动时安全仍然有效。这意味着将阻止所有的传入连接。在这种情况下,管理员将无法远程解决问题,因为所有的端口都将关闭,包括远程桌面使用的端口。
如何解决这些问题?
要关闭启动时安全,请停止 Windows 防火墙/Internet 连接共享 (ICS) 服务并将其启动类型设置为“手动”或“禁用”。
如果由于防火墙服务尚未启动,计算机处于启动时安全模式,那么管理员必须登录到控制台,解决引起故障的原因,然后手动启动防火墙服务。
全局配置
详细说明
在 早期版本的 Windows 中,Windows 防火墙是基于每个接口配置的。这意味着每个网络连接都具有自己的防火墙设置集,例如,一个设置集用于无线连接,另一个设置集用于以太网。这样,很难在连接 之间同步防火墙设置。此外,新连接将不具有已应用于现有连接的任何配置更改。诸如那些由专用拨号程序创建的非标准网络连接(例如,ISP 配置的拨号网络连接)不能受到保护。
利用全局配置,只要配置发生更改,它就会自动应用到“网络连接”文件夹中的所有网络连接,包括所有非 Microsoft 拨号程序。在创建新连接时,配置也应用于它们。仍然可以基于每个接口进行配置。非标准网络连接将仅具有全局配置。配置更改还同时应用于 IPv4 和 IPv6。
为什么此更改非常重要?
具有了全局策略,用户就可以更轻松地跨所有网络连接管理其防火墙策略,并且可以通过组策略进行配置。而且,还可以使应用程序运行在具有单一配置选项的任何接口上。
哪些功能发生变化?
在早期版本的 Windows 中,是基于每个接口配置防火墙的。在 Windows XP Service Pack 2 中,配置是全局的,同时适用于 IPv4 和 IPv6。
如何解决这些问题?
如果应用程序或服务需要有打开的静态端口才能工作,则应该全局打开端口,如后面部分的“是否需要更改代码才能使用 Windows XP Service Pack 2?”所述。
例外的通讯作用域
详细说明
ICF 允许例外的通讯来自任何 IPv4 地址。使用 Windows XP Service Pack 2 中的 Windows 防火墙,您可以配置一个例外,仅允许来自直接可到达地址的传入通讯 [ 仅网上邻居(子网)作用域选项 ](基于 IPv4 和 IPv6 路由表中的条目);或者仅允许来自特定的 IPv4 地址和特定的地址 IPv4 地址范围(自定义列表作用域选项)。
当使用网络共享应用程序编程接口 (NetShare API)、网络安装向导或者通过 Windows 防火墙用户接口启用了文件和打印机共享内置的例外,默认请求的传入文件和打印机共享连接只能来自直接可到达的地址。
对 于工作组中的计算机,默认情况下,一些例外被限制在本地可到达的地址。文件和打印机共享以及通用即插即用 (UPnPTAG) 框架需要这些例外。另外,当这些例外在 Internet 连接共享主机上为本地可到达地址打开时,它们将不会在 ICS 公共接口上打开。如果您对所有地址启用这些例外,它们将会在 ICS 公共接口上打开,而这并不是推荐的做法。
建议您为本地网络上通讯所使用的所有例外应用本地可到达地址限制。以编程方式、通过 Windows 防火墙 Netsh Helper 或 Windows 防火墙用户界面,可以执行该操作。
为什么此更改非常重要?它有助于缓解哪些威胁?
一 些应用程序仅需要与本地网络上的其他主机进行通信,而不需要与 Internet 上的主机进行通信。将 Windows 防火墙配置为仅允许来自本地可到达地址的通讯,或者来自特定地址范围(与本地连接的子网一致),以限制可接受的未请求传入通讯的地址范围。这可以减轻有可 能发生在启用的例外上的攻击,但是无法杜绝。
哪些功能发生变化?
当文件和打印机共享内置例外在工作组成员的计算机上启用时,本地可到达地址限制将明确影响四个端口。以下这四个端口将仅从本地子网接收流量。
| • | UDP 端口 137 |
| • | UDP 端口 138 |
| • | TCP 端口 139 |
| • | TCP 端口 445 |
如果应用程序或服务也使用这些端口,则它将只能与本地可到达地址的其他节点进行通信。
启用 UPnP 框架时,两个端口会受到本地可到达地址限制的明确影响,它们仅从本地可到达地址接收流量:
| • | UDP 端口 1900 |
| • | TCP 端口 2869 |
如何解决这些问题?
如果在应用该限制类型后应用程序或服务无法正常工作,则应该打开用于全局连接的端口,如本文档后面部分的“是否需要更改代码才能使用 Windows XP Service Pack 2?”所述。
命令行支持
详细说明
Windows 防火墙 Netsh Helper 已添加到 Windows XP 的高级网络包中。该帮助程序仅适用于 IPv6 Windows 防火墙。在 Windows XP Service Pack 2 中,该帮助程序的结构和语法发生了改变,并扩展为也包括对配置 IPv4 的支持。利用 Netsh Helper,可以全面地配置 Windows 防火墙,包括:
| • | 配置 Windows 防火墙的默认状态(“关”、“开”、“开并且无例外”) |
| • | 配置和启用基于端口的例外 |
| • | 配置日志记录选项 |
| • | 配置 Internet 控制消息协议 (ICMP) 处理选项 |
| • | 配置和启用基于程序的例外 |
为什么此更改非常重要?
通过提供的命令行界面,管理员可以配置 Windows 防火墙,而无须使用图形用户界面。命令行界面可以在登录脚本和远程管理中使用。
哪些功能发生变化?
由 Windows XP 的高级网络包支持的 Netsh Helper 创建的任何脚本将不再运行,也不需要被更新。
“开并且无例外”操作模式
详细说明
可 以在 Windows 防火墙配置例外,以便在正常使用期间允许特定未经请求的传入流量。通常情况下,这是因为必须启用如文件和打印机共享这样的关键方案。如果在计算机上运行的 一个或多个侦听服务或应用程序中发现了安全问题,则可能需要将计算机切换到仅客户端模式(即“开并且无例外”模式)。切换到此仅客户端模式,可将 Windows 防火墙配置为阻止所有未经请求的传入流量,而无须重新配置防火墙。
处于该模式时,会临时禁用所有例外,并丢弃所有现有连接。要求 Windows 防火墙创建例外的任何 API 调用会被允许,并且存储请求的防火墙配置,但是在将该操作模式切换回正常操作之前,不会应用该配置。此外,会忽略应用程序发出的所有侦听请求。
为什么此更改非常重要?它有助于缓解哪些威胁?
病毒、蠕虫和攻击者查找要利用的服务。处于该操作模式时,Windows 防火墙有助于防止这些类型的攻击得逞。
哪些功能发生变化?
处于该操作模式时,计算机无法侦听到来自网络的请求。所有的现有传入连接都会终止。传出连接是仅有的成功连接。
如何解决这些问题?
处于该操作模式时,预期某些功能将因已经建立的严格网络安全性而失败。可以通过将操作模式返回到“开”(默认状态)来还原功能。该操作应该仅在已经确定并缓解了威胁后由用户执行,因为执行该操作会降低计算机的安全性。
基于程序的例外
详细说明
一些程序(应用程序或服务)同时充当网络客户端和服务器。当充当服务器时,它们需要允许未经请求的传入流量进入,因为它们无法预先知道对方是谁。
在早期版本的 Windows 中,程序需要调用防火墙 API,才能使必需的侦听端口打开。这证明在事先不知道端口时对等情况是多么困难。在完成通信之后,应该由程序再次关闭端口。否则,在程序意外终止时防火墙中会存在不必要的洞。
此外,仅当程序在本地管理员的安全上下文中运行时,才能打开这些端口。这样就违反了最少特权原则,因为要求程序在管理上下文中运行,而不是仅以最少必需特权运行。
在 Windows XP Service Pack 2 中,可以将需要侦听网络的程序添加到 Windows 防火墙例外列表中。如果 Windows 防火墙例外列表中包括某个程序,则 Windows 将自动打开和关闭必需的侦听端口,而不管该程序的安全上下文是什么。有关向 Windows 防火墙例外列表添加程序的详细信息,请参阅本文档后面部分的“如何解决这些问题?”。
注意 对于使用状态筛选的程序,不必将其包括在 Windows 防火墙例外列表中。只有管理员才能向 Windows 防火墙例外列表中添加程序。
为什么此更改非常重要?它有助于缓解哪些威胁?
当 Windows 防火墙例外列表中包括某个程序时,只会打开必需的端口,并且仅在该程序在那些端口上侦听的时段内那些端口才是打开的。程序无法打开它不使用的端口,这可能有意或无意地将其他程序或服务从该端口公开给网络流量。
这也会使正在侦听网络的程序使用具有更少特权的帐户运行。在以前版本的 Windows 中,用户必须使用管理员权限运行这些程序。
哪些功能发生变化?
如果程序需要在网络上侦听,则它必须包括在 Windows 防火墙例外列表中。如果它没有包括在该列表中,则不会打开 Windows 防火墙中的必需端口,因此程序将无法接收未经请求的传入流量。
如何解决这些问题?
可以使用五种方法将程序包括在 Windows 防火墙例外列表中:
| 1. | 编程方式。 建议独立软件供应商 (ISV) 在安装期间将其程序包括在 Windows 防火墙例外列表中。有关如何通过编程方式添加例外的详细信息,请参阅本文档后面部分的“是否需要更改代码才能使用 Windows XP Service Pack 2?”。 | ||||||
| 2. | 命令行界面。 使用脚本和其他命令行工具管理 Windows XP 系统的 IT 管理员可以使用这种方法。 | ||||||
| 3. | 组策略设置。 通过组策略将程序添加到例外列表中的 IT 管理员可以使用这种方法。 | ||||||
| 4. | Windows 安全警报通知消息。 具有管理员权限的用户可以与 Windows 安全警报通知消息进行交互并将应用程序添加到例外列表中。 当 应用程序执行特定 (non-wildcard) 端口的 TCP 侦听或 UDP 绑定时,网络堆栈会将应用程序名和端口传递到 Windows 防火墙。Windows 防火墙会在例外列表中查找该应用程序名。如果应用程序包括在例外列表中并且处于启用状态,则会在防火墙中打开对应的端口。如果应用程序包括在例外列表中并 且处于禁用状态,则不会打开对应的端口。如果应用程序没有包括在例外列表中,则要求用户进行选择。如果用户具有管理员权限,他们可以:
如果用户不具有管理员权限,则会通知他们不允许应用程序在网络上侦听,管理员必须启用应用程序。此时,应用程序在例外列表中列出,处于“禁用”状态。 | ||||||
| 5. | 手动配置。 用户可以决定是否启用一个程序,通过手动从一个已填充列表(内容可以来自“开始”菜单的程序列表)中选择这个程序,或者浏览到该应用程序。 |
多个配置文件
详细说明
Windows 防火墙中支持的多个配置文件允许您可以创建两组防火墙策略:一组用于计算机连接到管理的网络时,一组用于计算机不连接到管理的网络时。当计算机连接到企业 网络时,可以指定不太严格的设置以允许行业应用程序运行。也可以使用更苛刻的安全策略,该策略将在计算机脱离管理的网络时强制执行,这有助于保护移动用 户。
注意 Windows 防火墙的多个配置文件仅适用于加入域的计算机。处于工作组中的计算机只有一个配置文件。
为什么此更改非常重要?它有助于缓解哪些威胁?
对于移动计算机,最好具有多个防火墙配置。通常,某个配置在企业网络上是安全的,但在 Internet 上可能容易受到攻击。因此,能够使端口在企业网络上打开但不在其他网络上打开,对于确保在任何给定时间仅公开必需端口是至关重要的。
哪些功能发生变化?
如 果应用程序需要在 Windows 防火墙例外列表中列出才能正常运行,则在这两个网络上它可能都无法正常运行,因为这两个配置文件可能没有相同的策略集。为了使应用程序在所有网络上正常运 行,必须在这两个配置文件中将其列出。(有关 Windows 防火墙例外列表的详细信息,请参阅前面的部分。)
如何解决这些问题?
如果计算机已加入域,则必须确保应用程序在这两个防火墙配置中列出。
系统服务的 RPC 支持
详细说明
在早期版本的 Windows 中,Internet 连接防火墙阻止远程过程调用 (RPC) 通信。尽管可以将 Internet 连接防火墙配置为允许到 RPC 终结点映射程序的网络流量,但是 RPC 使用的端口是未知的,因此应用程序仍将失败。
如果不允许 RPC 通过网络进行通信,则许多企业应用程序和组件都将失败。一些示例包括(但不限于)以下示例:
| • | 远程管理(如计算机管理功能)和许多应用程序使用的“选择用户、计算机和组”对话框 |
| • | 远程 Windows Management Instrumentation (WMI) 配置 |
| • | 管理远程客户端和服务器的脚本 |
RPC 打开几个端口,然后在那些端口上公开许多不同服务器。由于 Windows XP 附带的 RPC 服务器如此之多,因此 Windows 防火墙对使用 RPC 的系统服务采用了不同的方法。如果调用方正运行在“本地系统”、“网络服务”或“本地服务”安全上下文中,则 Windows 防火墙将仅接受该声明。
为什么此更改非常重要?它有助于缓解哪些威胁?
为了启用解决远程管理的方案,很多企业范围的部署都要求默认情况下使用 RPC 的系统服务与 Windows 防火墙一起工作。通过使用更多精度控制,您可以控制向网络公开哪些 RPC 服务。
哪些功能发生变化?
默认情况下,RPC 无法通过 Windows 防火墙发挥作用。使用 RPC 的所有系统服务都会受到影响。但是,可以将 Windows 防火墙配置为允许 RPC 为这些服务工作。
如何解决这些问题?
请参阅本文档后面部分的“是否需要更改代码才能使用 Windows XP Service Pack 2?”。
还原为默认值
详细说明
以前,用户无法重置 Windows 防火墙的配置。随着时间的推移,可能通过向 Windows 防火墙例外列表添加应用程序或端口,将 Windows 防火墙配置为允许未经请求的传入流量。这样,用户要轻松而快速地还原为默认配置可能就变得很困难了。
使用该选项,用户可以将 Windows 防火墙设置还原为其原始默认值。此外,OEM 和企业可以修改 Windows 防火墙默认设置以提供自定义的默认配置选项。
为什么此更改非常重要?
使用该选项,最终用户可以将其 Windows 防火墙设置还原为原始默认值。
哪些功能发生变化?
这并没有对 Windows 防火墙产生任何功能上的改变。但是,使用该功能会禁用 Internet 连接共享和网桥。
无人参与安装支持
详细说明
在 早期版本的 Windows 中,在安装期间配置 Internet 连接防火墙是不可能的。这使得 OEM 和企业在将计算机分发给其最终用户之前预配置 Internet 连接防火墙变得很困难。在 Windows XP Service Pack 2 中,可以通过无人参与安装配置 Windows 防火墙的以下选项:
| • | 操作模式 |
| • | Windows 防火墙例外列表中的应用程序 |
| • | 例外列表中的静态端口 |
| • | ICMP 选项 |
| • | 日志记录选项 |
为什么此更改非常重要?
使用预配置 Windows 防火墙的方法,Windows 经销商和大型企业可以更灵活地配置 Windows 防火墙的自定义选项。
哪些功能发生变化?
该特性为 Windows 防火墙添加了配置灵活性。这并没有对 Windows 防火墙产生任何功能上的改变。
Windows XP Service Pack 2 中对哪些现有功能进行了更改?
增强的多播和广播支持
详细说明
多播和广播网络流量与单播流量不同,因为响应来自未知的主机。因此,有状态筛选可阻止响应的接受。这将使许多方案无法工作,其范围从流式媒体到发现。
为启用这些方案,Windows 防火墙将允许从多播和广播流量所源自的同一端口上的任何源地址发出的单播响应存在 3 秒。
为什么此更改非常重要?它有助于缓解哪些威胁?
这样,无需用户或应用程序/服务改变防火墙策略,使用多播和广播进行通信的应用程序和服务即可运行。这对于通过 TCP/IP 的 NETBIOS 等是很重要的,以免公开敏感端口(如端口 135)。
哪些功能发生变化?是否存在任何依赖性?
在 以前版本的 Windows 中,Internet 连接防火墙不执行任何多播或广播筛选。在 Windows XP Service Pack 1 中,Internet 连接防火墙有状态地筛选多播和广播流量,要求用户手动打开端口以接收响应。在 Service Pack 2 中,Windows 防火墙可以在无需额外配置的情况下接受多播或广播流量的响应。
Internet 连接防火墙和 IPv6 Windows 防火墙的集成
详细说明
随 Windows XP 推出的 Internet 连接防火墙版本仅筛选 IPv4 流量。IPv6 Internet 连接防火墙是随 Windows XP 的高级网络包推出的。那时,这两个防火墙是独立的,并且每个防火墙都使用自己的配置选项。在 Windows XP Service Pack 2 中,Internet 连接防火墙和 IPv6 Internet 连接防火墙被集成为一个组件,称为“Windows 防火墙”。
进行该更改后,任何配置更改都同时应用于 IPv4 和 IPv6 流量。例如,在打开静态端口时,就同时为 IPv4 和 IPv6 流量打开了它。
为什么此更改非常重要?
这样,就可以更轻松地管理配置并确保应用程序兼容性。
哪些功能发生变化?
单 独的 IPv6 防火墙服务已从系统中删除,并替换为同时筛选 IPv4 和 IPv6 流量的 Windows 防火墙服务。随 Windows XP 的高级网络包推出的所有 API 均被随 Windows XP Service Pack 2 推出的新 API 所替代。
如何解决这些问题?
有关详细信息,请参阅本文档后面部分的“是否需要更改代码才能使用 Windows XP Service Pack 2?”。
更新的 Netsh Helper
详细说明
Netsh Helper 的防火墙环境是首先随 Windows XP 的高级网络包推出的。这仅适用于 IPv6 Windows 防火墙。通过 Windows 防火墙和 IPv6 Windows 防火墙的集成,Netsh Helper 的防火墙环境不再具有 IPv6 环境。
为什么此更改非常重要?
该更改适应以下变化:对 Windows 防火墙的更改;现有 Netsh Helper 的防火墙环境中 IPv4 筛选配置选项的集成。
哪些功能发生变化?
使用随着高级网络包的添加而出现的防火墙上下文的任何现有脚本都将不再起作用。
如何解决这些问题?
更新您可能具有的任何脚本,以便它们包括新的防火墙环境和语法。
更新的用户界面
详细说明
在 Windows XP Service Pack 2 中,更新了 Windows 防火墙用户界面,以适应新的配置选项和 IPv6 Internet 连接防火墙的集成。使用该用户界面,用户能够更改操作状态、全局配置、日志记录选项和 ICMP 选项。
用户界面的主要入口已经从连接的“属性”对话框移至一个控制面板图标。但仍然提供了一个从旧位置的链接。此外,Windows XP Service Pack 2 还创建了一个从“网络连接”文件夹的链接。
为什么此更改非常重要?
在 Windows XP Service Pack 2 中添加的功能要求更新用户界面。
哪些功能发生变化?
该用户界面从网络连接“属性”对话框的“高级”选项卡移动到了控制面板中的特定 Windows 防火墙图标。
新组策略支持
详细说明
在 早期版本的 Windows 中,Internet 连接防火墙具有一个单个的组策略对象 (GPO):“禁止使用 DNS 域网络上的 Internet 连接防火墙”。在 Windows XP Service Pack 2 中,每个配置选项都可以通过组策略进行设置。可用的新配置选项的示例包括:
| • | 定义程序例外 |
| • | 允许本地程序例外 |
| • | 允许 ICMP 例外 |
| • | 阻止通知 |
| • | 允许文件和打印机共享例外 |
| • | 允许记录日志 |
对 于企业配置文件和标准配置文件,都可以设置其中的每个对象。有关组策略选项的完整列表,请参阅 Microsoft 下载中心中的“Deploying Internet Connection Firewall Settings for Microsoft Windows XP with Service Pack 2”,网址是:http://go.microsoft.com/fwlink/?linkid=23277。
为什么此更改非常重要?
管理 Windows 防火墙策略使应用程序和方案可以在企业环境中工作,对管理员来说是很重要的。
哪些功能发生变化?
IT 管理员现在可以决定默认的 Windows 防火墙策略集。这可以启用或禁用应用程序和方案。这将允许更多的控制,但是策略不会更改 Windows 防火墙的基础功能。
Windows XP Service Pack 2 中添加或更改了哪些设置?
| 设置名称 | 位置 | 以前的默认值 | 默认值 | 可能值 |
| 保护所有的网络连接 | (组策略对象)计算机配置/管理模板/网络/网络连接/ /Windows 防火墙 | 不适用。 | 未配置 | 启用 禁用 |
| 不允许例外 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用。 | 未配置 | 启用 禁用 |
| 定义程序例外 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用。 | 未配置 | 启用 禁用 程序路径 作用域 |
| 允许本地程序例外 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用。 | 未配置 | 启用 禁用 |
| 允许远程管理例外 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用。 | 未配置 | 启用 禁用 |
| 允许文件和打印机共享例外 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用 | 未配置 | 启用 禁用 |
| 允许 ICMP 设置 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用。 | 未配置 | 回显请求:打开、关闭 源抑制:打开、关闭 重定向:打开、关闭 无法访问目标:打开、关闭 路由器请求:打开、关闭 超时:打开、关闭 参数问题:打开、关闭 掩码请求:打开、关闭 时间戳请求:打开、关闭 |
| 允许远程桌面例外 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用 | 未配置 | 启用 禁用 |
| 允许 UPnP 框架例外 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用 | 未配置 | 启用 禁用 |
| 阻止通知 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用 | 未配置 | 启用 禁用 |
| 允许登录 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用 | 未配置 | 启用 禁用 |
| 阻止对多播或广播请求的单播响应 | (组策略对象)计算机配置/管理模板/网络/网络连接/Windows 防火墙 | 不适用 | 未配置 | 启用 禁用 |
是否需要更改代码才能使用 Windows XP Service Pack 2?
出站连接
描述
对 于典型的用户计算机和办公计算机,计算机是网络上的客户端。计算机上的软件向外连接到服务器(出站连接),再从服务器获得响应。Windows 防火墙允许所有出站连接,但是将规则应用于允许返回到计算机的通信类型。有关 Windows 防火墙允许作为传输控制协议 (TCP) 和用户数据协议 (UDP) 出站连接一部分的网络流量的详细信息,请参阅下面的“注意”。
所需操作
无。Windows 防火墙将自动允许所有出站连接,而不管程序和用户上下文。
注意
| • | 当一台计算机向目标计算机发出 TCP 会话请求时,它将仅接受来自该目标计算机的响应。 |
| • | 当计算机发送 UDP 数据包时,Windows 防火墙允许发送到端口(任何 IP 地址从该端口发送 UDP 数据包)的 UDP 响应存在 90 秒。 |
| • | 允许对多播和广播流量的单播响应在 3 秒内通过 Windows 防火墙,条件是响应发往从其发送多播流量的端口,而且响应来自与计算机位于同一子网中的 IP 地址。防火墙中的一个设置控制该行为,默认情况下启用该设置。 |
示例
| • | 使用 Microsoft Internet Explorer 网上冲浪 |
| • | 在 Outlook Express 中检查电子邮件 |
| • | 在 MSN Messenger 或 Windows Messenger 中聊天 |
应用程序的未经请求的入站连接
描述
该方案涉及一个应用程序,它在 TCP 套接字上完成侦听操作或通过 Winsock 成功绑定到特定 UDP 套接字。对于该方案,Windows 防火墙可以根据应用程序的需要自动打开和关闭端口。
所需操作
在管理员安装需要在一个或多个端口上侦听的应用程序时,用户必须指出是否要允许应用程序打开防火墙中的端口。
| • | 如果用户对此表示同意,则应用程序应该使用 INetFwAuthorizedApplication API 将自身添加到 AuthorizedApplications 集合中,且处于“启用”状态。 |
| • | 如果用户不同意,则应用程序应该使用 INetFwAuthorizedApplication API 将自身添加到 AuthorizedApplications 集合中,且处于“禁用”状态。 |
当使用 INetFwAuthorizedApplication API 将应用程序添加到 AuthorizedApplications 集合时,需要以下值:
| • | 图像文件名。这是调用 Winsock 以侦听网络流量的文件。这必须是完全限定的路径,但是它可能包含环境变量。 |
| • | 友好名称。这是将在 Windows 防火墙用户界面中显示给用户的应用程序的说明。 |
有关 INetFwAuthorizedApplication API 的详细信息,请参阅 Microsoft 平台软件开发工具包 (SDK) 中的“INetFwAuthorizedApplication”,网址是 http://go.microsoft.com/fwlink/?LinkId=32000。
Windows 防火墙监视 Winsock 以查看应用程序在端口上开始和停止侦听的时间。因此,在 Windows 防火墙例外列表中启用应用程序的项之后,就会为这些应用程序自动打开和关闭端口。这意味着 Winsock 应用程序不需要任何操作就可以实际打开和关闭端口。
注意
| • | 应用程序必须在具有管理员权限的用户上下文中运行,才能将自身添加到 Windows 防火墙例外列表中。 |
| • | 对于允许的 Winsock 应用程序,端口是自动打开和关闭的,而不管应用程序在哪个用户上下文中运行。 |
| • | 应用程序在将自身添加到 AuthorizedApplications 集合之前,应该获得用户的同意。 |
| • | 不能将 Svchost.exe 添加到 AuthorizedApplications 集合中。 |
示例
涉及可能以不同方式运行的 Microsoft 应用程序的任务的一些示例包括:
| • | 在 MSN Messenger 或 Windows Messenger 中使用音频和视频 |
| • | 在 MSN Messenger 或 Windows Messenger 中传送文件 |
| • | 主持多人游戏 |
用于服务的入站连接
描述
尽管建议开发人员将 AuthorizedApplication API 用于所有其他方案,但是对于在固定端口上侦听的服务建议使用 Windows 防火墙的全局端口 API。由于这些端口会始终打开,因此动态打开端口的好处很少。相反,在使用全局端口 API 时,用户能够自定义这些固定端口的防火墙设置。
所需操作
当某个服务需要在固定端口上侦听时,它必须询问用户它是否应该允许该服务打开防火墙中的端口。理想情况下,这应该在安装服务时进行。
如果用户同意这样做,则服务应该使用 INetFwOpenPort API 向 Windows 防火墙添加规则,以打开服务所需的一个或多个固定端口。应该启用这些规则。
如果用户不同意,则服务仍然应该使用 INetFwOpenPort API 向 Windows 防火墙添加规则,以打开服务所需的一个或多个固定端口。但是,不应该启用这些规则。
当使用 INetFwOpenPort API 向 Windows 防火墙添加打开的端口时,需要以下值:
| • | 端口。这是要打开端口的号码。它必须介于 0 和 65,535(包括两个极限值)之间。 |
| • | 友好名称。这是将在 Windows 防火墙用户界面中向用户显示的打开端口的说明。 |
有关 INetFwAuthorizedApplication API 的详细信息,请参阅 MSDN 网站上的平台软件开发工具包中的“InetFwAuthorizedApplication”,网址是 http://go.microsoft.com/fwlink/?linkid=32000。
当服务被禁用时,它应该尽可能再次使用 INetFwOpenPort API 关闭它打开的静态端口。如果它是使用端口的唯一服务,则可以很容易做到这一点。但是,如果该服务有可能与其他服务共享端口,则它不应该关闭这些端口,除非它可以验证其他服务都没有在使用这些端口。
应用程序必须运行在具有管理员权限的用户上下文中,才能静态打开 Windows 防火墙中的端口。
注意
| • | 当通过 INetFw API 静态打开端口时,服务应该尽可能将自身限制为来自本地子网的流量。 |
| • | 在静态打开 Windows 防火墙中的端口之前,服务必须取得用户的同意。在没有先警告用户的情况下,服务永远不得自动打开端口。 |
示例
下面是需要入站连接的服务的一些示例:
| • | 文件和打印机共享 |
| • | UPnP 体系结构 |
| • | 远程桌面 |
系统服务的 RPC 和 DCOM 端口上的入站连接
描述
有些系统服务要求直接通过 DCOM 或 RPC 将 RPC 端口用于入站连接。由于在打开 RPC 端口时涉及严重的安全问题,因此将这些端口作为特殊情况进行处理,开发人员应该仅在绝对必要时才尝试允许系统服务的 RPC 通过 Windows 防火墙。
所需操作
可 以配置 Windows 防火墙允许自动打开和关闭系统服务的 RPC 和 DCOM 端口。但是,默认情况下 Windows 防火墙将阻止 RPC。这意味着使用 RPC 端口将数据传输到系统服务的应用程序将需要适当地配置 Windows 防火墙。当应用程序需要启用该功能时,它必须询问用户是否应该允许这些服务打开防火墙中的端口。理想情况下,这应该在安装时完成。
如果用户同意允许打开 RPC 端口,那么服务应该使用 INetFwRemoteAdminSettings API 打开该服务所需的端口。
如果用户不同意允许打开 RPC 端口,则应用程序或服务不应该将 Windows 防火墙配置为允许 RPC 端口。
有关 INetFwRemoteAdminSettings API 的详细信息,请参阅 MSDN 网站上的“INetFwAuthorizedApplication”(网址是 http://go.microsoft.com/fwlink/?linkid=32000),在目录中,单击“RemoteAddresses Property of InetFwAuthorizedApplication”。
注意
| • | 要在 Windows 防火墙中启用或禁用 RPC 端口的自动打开,应用程序或服务必须运行在具有管理员权限的用户上下文中。 |
| • | 在允许 RPC 端口通过 Windows 防火墙之前,应用程序或服务应该取得用户的同意。 |
| • | 仅当绝对必要时,应用程序或服务才应该尝试允许 RPC 端口通过 Windows 防火墙。 |
| • | 如果已经允许 RPC 端口,则应用程序或服务无需执行任何操作即可正常运行。 |
| • | RPC 端口设置仅适用于运行在“本地系统”、“网络服务”或“本地服务”上下文中的 RPC 服务器。通过该设置,不会启用由运行在其他用户上下文中的 RPC 服务器打开的端口。相反,那些 RPC 服务器应该使用 Windows 防火墙例外列表。 |
Windows Media Player
Windows Media Player 的作用是什么?
Windows Media Player 是一个应用程序,它提供媒体内容,播放媒体文件,以及帮助组织存储的媒体文件。
此功能适用于哪些用户对象?
使用 Windows Media Player 的所有用户都应该了解在 Windows XP Service Pack 2 中并入的更改。
Windows XP Service Pack 2 中对此功能添加了哪些新功能?
Windows Media Player 9 系列
详细说明
Windows Media Player 9 系列作为 Windows XP Service Pack 2 的一部分安装。该版本的 Windows Media Player 包括安全修补程序和新功能。
在 安装 Windows XP Service Pack 2 过程中,如果选择存档文件的选项,则可以日后删除 Windows Media Player 9 系列。为此,请通过“添加或删除程序”删除该 Service Pack。Windows Media Player 9 系列将随 Service Pack 一起删除,以前版本的 Windows Media Player 和操作系统都将还原到以前的版本。
如果在运 行以前版本 Windows 的计算机上执行包括 Service Pack 2 的 Windows XP 的全新安装,则将替换操作系统,而且无法删除 Windows Media Player 9 系列。有关详细信息,请参阅 Windows Media 9 系列知识库中心,网址是:http://go.microsoft.com/fwlink/?LinkId=32062。
为什么此更改非常重要?它有助于缓解哪些威胁?
早 期版本的 Windows Media Player 存在安全漏洞。虽然已经使用软件更新修补了这些漏洞,但是更彻底的解决方法是将较早的版本升级到 Windows Media Player 9 系列。Windows Media Player 9 系列也经过了全面的测试和更新,以使用 Windows XP Service Pack 2 中包含的其他安全增强。
哪些功能发生变化?
如果卸载 Windows XP Service Pack 2,则可能需要重新获得某些许可证,才能播放以前许可的内容。如果已经将计算机从 Windows 2000 或 Windows XP 升级到 Windows XP Service Pack 2,则需要这样做。因为 Windows Media Player 9 系列处理数字内容许可证的方式与早期版本不同。
如何解决这些问题?
要确保在删除 Windows XP Service Pack 2 后 Windows Media Player 仍然可以使用现有的许可内容,请执行以下操作之一:
| • | 在 将计算机升级到 Windows XP Service Pack 2 之前,备份数字媒体文件的许可证。(您可以通过 Windows Media Player 中的“许可证管理”做到这一点。)然后,在删除该 Service Pack 之前,备份您已经获得的任何其他许可证。在删除该 Service Pack 之后,还原所有的许可证。 |
| • | 在删除 Windows XP Service Pack 2 后,您可以从 Microsoft Windows Media 下载中心安装 Windows Media Player 9 系列。 |
Windows Messenger
Windows Messenger 有何功能?
Windows Messenger 是一个即时消息程序,使用它可以与使用 Windows Messenger 或 MSN Messenger 的其他人员进行实时通信。
使用 Windows Messenger 可以:
| • | 创建也使用 Messenger 的朋友、家人和同事的联系人名单。 |
| • | 查看您的联系人登录到 Windows Messenger 并可通信的时间。 |
| • | 与您的联系人互发文本消息。 |
| • | 向世界上几乎任何地方拨打电话,费率非常低 - 而且可以使用麦克风或头戴式耳机进行通话。 |
| • | 免费呼叫联系人的计算机,并且在通话时可彼此看到对方。 |
| • | 向联系人发送图片、音乐或文档。 |
| • | 直接链接到默认电子邮件程序的电子邮件收件箱。 |
| • | 邀请某人玩游戏、查看您计算机上的程序或一起使用白板。 |
| • | 使用“远程协助”寻求某个用户帮助解决您的计算机问题。 |
| • | 使用 Microsoft .NET Alerts 接收最新信息。 |
此功能适用于哪些用户对象?
所有的 Windows Messenger 用户都应该了解在 Windows XP Service Pack 2 中对该特性进行的更改。
Windows XP Service Pack 2 中对此功能添加了哪些新功能?
在 Windows XP Service Pack 2 中为 Windows Messenger 添加了以下功能:
| • | 阻止不安全的文件传送 |
| • | 要求用户显示名 |
| • | Windows Messenger 与 Windows 防火墙 |
阻止不安全的文件传送
详细说明
当文件包含的内容可能破坏计算机时,文件传送将被阻止。当某个用户尝试向您发送文件时,Windows Messenger 将首先查看发件人是否在您的联系人名单上。接下来,文件将通过安全检查。
当下面两种情况都存在时,文件将被阻止:
| • | 发件人不在您的联系人名单上。 |
| • | 有人试图向您发送被认为不安全的文件。 |
扩展名为 .jpg、.txt 和 .gif 的文件通常认为是安全的,因此可以接收不在您的联系人名单上的某个人发给您的这样的文件。
某 些文件类型在打开时要格外小心,即使您认识发件人,因为它们可能包含可执行的代码。在收到您的联系人名单上的人员发来的某种类型的文件时,将询问您希望如 何处理该文件。只有当您将文件保存到计算机的硬盘上时才应该接受该文件,在打开该文件前,应该用防病毒程序对其进行扫描。
在打开以下文件类型时将提示您:
| • | Microsoft Office 文件,如 .doc、.ppt、.xls。 |
| • | 来自于其他应用程序的文件,如 .zip、.wpd 和 .pdf。 |
| • | 计算机应用程序、程序或任何包含软件代码或脚本(其中包括宏、可执行文件和 JavaScript)的文件。 |
| • | 具有以下扩展名的文件:.exe、.cmd、.wsh、.bat、.vb、.vbs、.pif、.scr、.scf。 |
| • | 其他文件类型。 |
有关通常认为不安全的文件的列表,请参阅 Microsoft 网站上的“Information About the Unsafe File List in Internet Explorer 6”,网址是:http://go.microsoft.com/fwlink/?LinkId=25999。
为什么此更改非常重要?它有助于缓解哪些威胁?
当文件包含的内容可能破坏计算机时,文件传送将被阻止。
哪些功能发生变化?
某些文件传送将被阻止。
如何解决这些问题?
当下面两种情况都存在时,文件才将被阻止:
| • | 发件人不在您的联系人名单上。 |
| • | 某人试图向您发送的文件被认为是不安全的。 |
如果您知道文件是安全的,则可以将该用户添加到您的联系人名单中,这样您从其接收的所有文件传送都将成功。
要求用户显示名
详细说明
Windows Messenger 现在要求用户显示名,用户显示名与用户的电子邮件地址不同。
当用户登录到 Windows Messenger 以及在“选项”对话框中更新其显示名时,会强制该要求。
当用户登录到 Windows Messenger 时,将提示他们先提供用户显示名才能登录。如果未提供显示名,则他们无法登录。
当用户在“选项”对话框中更新其显示名时,Windows Messenger 将验证显示名是否与其电子邮件地址匹配。
为什么此更改非常重要?它有助于缓解哪些威胁?
当使用“文件”菜单上的“另存为”保存即时消息会话以供将来参考时,用户的显示名将与任何关联的文本消息一起存储在文本文件中。病毒应用程序可以在该文本文件中发现电子邮件地址,然后通过这些相同的即时消息会话使用该电子邮件地址传播到用户的联系人。
哪些功能发生变化?
用户在提供用户显示名之后才能登录。
如何解决这些问题?
在登录期间提示用户提供用户显示名时,用户必须提供它。
Windows Messenger 与 Windows 防火墙
详细说明
Windows Messenger 需要有权限才能通过 Windows 防火墙连接到 Internet。
要给予 Windows Messenger 连接到 Internet 的权限,可以依次单击“开始”、“控制面板”、“安全选项”、“Windows 防火墙”、“例外”,然后在“程序和服务”中,单击“Windows Messenger”。
为什么此更改非常重要?它有助于缓解哪些威胁?
默认情况下已经打开 Windows 防火墙,以保护用户的计算机。
哪些功能发生变化?
Windows Messenger 将不运行。
如何解决这些问题?
将 Windows Messenger 添加到 Windows 防火墙例外列表中。
无线提供服务
无线提供服务有何功能?
越 来越多的用户正通过越来越多的公用无线网络或无线保真 (Wi-Fi®) 热点来访问 Internet。使用 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 中的无线提供服务 (WPS),可以通过自动提供客户端和无缝漫游,为无线用户提供一致体验以及到公用 Wi-Fi 热点的无缝连接。使用 WPS,无线 Internet 服务提供商 (WISP) 可以使用基于标准的集成平台,提供具有增强的安全性、易于使用和管理的 Wi-Fi 热点。此外,使用 WPS,企业还可以轻松地提供对专用无线网络的来宾访问,而且具有增强的安全性。
使用 WPS,WISP 和企业可以在移动客户端连接到 Internet 或企业网络时向它们发送提供和配置信息。这样,又可以允许进行移动客户端的无缝的、自动的和安全的配置,从而在企业中以及跨不同的公用网络提供商和热点位置实现统一的登录体验。
注意 该特性需要 Windows Server 2003 的 Service Pack 1 才能启用该部分中所述的用户方案。Windows Server 2003 Service Pack 1 尚未发行。
此功能适用于哪些用户对象?
无线提供服务设计用于以下三种类型的组织:
| • | 热点服务提供商 (HSP) HSP 在公共场所(如大型购物中心和机场)部署无线访问点,但是 HSP 不是 Internet 服务提供商 (ISP)。HSP 与一个或多个 ISP 签订合同,为用户提供一个或多个服务计划,以便他们在希望建立用于 Internet 访问的帐户时从中选择。 |
| • | 无线 Internet 服务提供商 (WISP) WISP 是在公共场所部署 Wi-Fi 热点或将 Wi-Fi 热点服务外包给 HSP 的 ISP。 |
| • | 企业 企业可以使用 WPS 技术在其网络上提供托管的来宾访问。 |
Windows XP Service Pack 2 中对此功能添加了哪些新功能?
无线提供服务
详细说明
无 线提供服务是 Windows XP 和 Windows Server 2003 内现有无线服务和用户界面的扩展。它建立在 Windows 中已有的无线特性(如无线自动配置)和无线安全特性 [ 如受保护的可扩展验证 (PEAP) 和 Wi-Fi 受保护访问 (WPA)] 的基础之上。WPS 还包括对 Windows Server 2003 的修改。Windows 2003 IAS(Internet 验证服务)组件已修改为在提供过程中包括客户端的来宾验证。
WPS 包括一个提供服务组件,允许无线 Internet 服务提供商 (WISP) 和企业将提供和配置信息发送到尝试连接到 Internet 或企业网络的移动客户端。通过使用无线提供服务,WISP 可以在多个网络位置提供服务和使用多个网络名称(服务设置标识符或 SSID)。用户在一个位置登录到 WISP 或被预先提供并下载了提供信息之后,他们就可以在后续时机使用由 WISP 在它们的不同热点位置提供的网络自动连接到 Internet。无线自动配置服务将根据给出的提供文件自动选择属于 WISP 的正确网络。WSP 还支持不同提供商之间的自动、无缝漫游。
此外,在使用 WPS 时,客户端计算机将自动使存储在客户端计算机上的提供信息保持最新。这样,提供商就可以更改网络设置、添加新位置等等,而无须中断服务或使用户重新配置其系统。
当用户将其计算机连接到 WISP 并首次建立帐户时,将出现以下四个阶段:
| 1. | 计算机在一个 Wi-Fi 热点处发现 WISP 网络。 |
| 2. | 使用来宾帐户验证用户身份,并将计算机连接到 Wi-Fi 网络。 |
| 3. | 提供移动客户端,而且用户通过 WISP 建立一个帐户。 |
| 4. | 使用新的用户帐户凭据,在 Wi-Fi 网络上验证用户的身份。 |
以下方案详细讨论了其中每个阶段:
用户携带运行 Windows XP SP2 和无线提供服务的便携式计算机到达 Wi-Fi 热点,当计算机位于 WISP 访问点信号的范围内时,将出现以下情况:
| 1. | 客户端计算机上的无线自动配置 (WAC) 服务检测到来自访问点的信号信息,该访问点是使用广播服务设置标识符 (SSID) 启用的。SSID 相当于网络名称。 |
| 2. | Windows XP 通知用户一个无线网络已可用。用户查看 Windows XP 中的信息,其中包括该网络的友好名称。在该示例中,用户拥有用于建立帐户的升级代码,并通过单击“连接”继续。这会导致 WPS 客户端使用具有有限特权的来宾帐户将用户计算机连接到无线网络。 |
当 Wi-Fi 网络验证来宾帐户时,将出现以下情况:
| 1. | WAC 使用 802.1x 和受保护的可扩展验证协议 (PEAP) 通过访问点连接到 WISP 网络并作为来宾进行身份验证,自动将空的用户名和密码传递到 WISP Internet 验证服务 (IAS) 服务器(IAS 也称为 Microsoft RADIUS 服务器)。访问点连接到一个网关设备,该设备允许来自客户端的流量传递到网络中提供服务以完成登录过程,但阻止客户端访问 Internet。 |
| 2. | IAS 服务器(或 RADIUS 服务器)是以来宾身份连接的用户的 PEAP 身份验证器和传输层安全性 (TLS) 终结点。在客户端和 IAS 服务器之间创建了 TLS 隧道。客户端和服务器之间的所有后续消息都经过该隧道,而该隧道又经过访问点和网关设备。 |
| 3. | 当 IAS 服务器使用在增强型密钥用法 (EKU) 扩展中包含服务器身份验证目的的证书向客户端计算机验证其身份时,执行服务器身份验证。该证书由客户端计算机信任的公认根证书颁发机构 (CA) 颁发。 |
| 4. | IAS 服务器验证用户身份并授权该用户作为“来宾”。在 IAS 服务器发送到客户端的访问-接受消息中,包含一个具有指向提供信息的 URL 的容器。该 URL 为运行在客户端上的无线提供服务引擎提供 XML 主文件的位置。 |
当提供客户端并且用户创建帐户时,将出现以下情况:
| 1. | 在客户端计算机上,无线提供服务从提供服务器下载 XML 主文件和子文件。主文件包含指向在整个过程中控制客户端进度的 XML 子文件的指针。下载 XML 注册架构后,在客户端上将启动注册向导,以允许用户通过 WISP 创建帐户并向其付费。 |
| 2. | 在客户端计算机上使用注册向导,用户逐步骤完成注册帐户的过程。用户输入升级代码,以及个人数据,如姓名、地址和信用卡号码。无线提供服务客户端将用户输入的数据转换为 XML 文档。 |
| 3. | 将包含用户注册数据的 XML 文档发送到 WISP 提供服务器上的 Web 应用程序。 |
| 4. | Web 应用程序对照升级代码数据库(例如 SQL Server 数据库)检查用户输入的升级代码。如果升级代码是有效的,则 Web 应用程序继续处理用户数据。 |
| 5. | Web 应用程序处理用户的付费信息。在验证付费和成功完成注册信息后,Web 应用程序将从升级代码数据库读取域和安全组信息,并在身份服务(如 Active Directory)中创建用户帐户,然后将该帐户添加到安全组。Web 应用程序还在升级代码数据库中输入新用户名。 |
| 6. | 将包含新帐户凭据的 XML 文档从 WISP 提供服务器发送到客户端计算机上的无线提供服务客户端。客户端计算机使用这些凭据在 WISP 名称下配置 WAC 和 802.1x。将使用基于新用户帐户密码的凭据(用户名和密码)重新启动连接。 |
最后,当使用新帐户凭据验证用户身份,而且用户获得 Internet 访问权限时,将出现以下情况:
| 1. | 客户端计算机上的无线自动配置 (WAC) 服务重新启动与 WISP 的 SSID 的关联。 |
| 2. | WAC 在 XML 主文件中查找与其他 WISP 信息一起下载的正确 802.11 配置文件。WAC 使用正确的配置文件重新与访问点关联。 |
| 3. | WAC 使用 802.1x 启动身份验证过程,结合使用受保护的可扩展验证协议和 Microsoft 质询握手验证协议 2 版 (PEAP-MSCHAPv2)(使用无线提供服务客户端传递给 802.1x 的新帐户凭据)。 |
| 4. | 在客户端以 PEAP-MSCHAPv2 验证开始验证过程时,将在用户的客户端计算机和 WISP IAS 服务器之间创建 TLS 通道。 |
| 5. | 在 PEAP-MSCHAPv2 验证的第二个阶段,WISP IAS 服务器根据用户帐户数据库(例如 Active Directory)中的新帐户验证和授权连接请求。IAS 服务器将访问-接受消息发送到访问点。访问-接受消息中所包含的是指定用户可以立即访问 Internet 的属性。 |
| 6. | 访问点指示网关设备将客户端分配到可以访问 Internet 的逻辑网段。 |
它有助于缓解哪些威胁?为什么此更改非常重要?
通 过无线提供服务,可以更轻松地使用无线热点,而不会损害安全性。WPS 与 Windows Server 2003 Service Pack 1 和 Microsoft IAS(也称为 RADIUS 服务器)一起使用,用户计算机能够以增强的安全性更轻松地发现和连接无线热点,以及在无线热点之间漫游。
| • | WISP 注册和使用的当前连接模型是不受保护的。大多数的 Wi-Fi 热点配置为用于公开身份验证,而且没有数据加密。用户通常需要启动 Web 浏览器,才能开始注册 WISP 服务以及进行后续登录。通过向客户端和无线网络之间的通信添加加密和身份验证,WSP 缓解了该威胁。 |
| • | 基 于浏览器重定向的部署具有许多可用性问题。用户甚至可能不知道他们必须启动其浏览器才能进行连接。可能发生的情况的另一个示例是:浏览器设置为使用代理设 置访问 Internet,而用户直接连接到企业网络。在这种情况下,浏览器重定向不起作用,而且用户将必须知道禁用代理设置才能连接到热点。这可能会导致向 WISP 或企业帮助台拨打非常多的支持电话,从而产生很高的费用。 |
| • | 基于浏览器的部署容易受到拦截式攻击,例如,受到使用 rogue 访问点的恶意前端服务器的攻击。该访问点查询的用户可能在不知不觉中泄漏个人标识和信用卡信息。通过消除 Web 登录的需要,WSP 减少了 WISP 用户受到该类型攻击的漏洞。 |
| • | 如 果没有其他热点客户端软件,则用户无法轻松地检测热点,并且没有注册它们的统一机制。用户找出有关 WISP 的信息或搜索该 WISP 的热点位置是不容易的。如果用户在一个热点上注册,则他们不一定配置为自动使用其他热点。此外,没有使其提供和配置信息保持最新的标准机制。 |
| • | 附 加的热点客户端软件可以帮助用户访问该特定 WISP 的网络。但是,附加软件也可能与操作系统自带的无线服务或其他提供商的客户端软件相冲突,有可能导致互操作性问题,甚至在它们都试图控制整个系统的无线设 置时导致系统不稳定。对 WISP 配置的更新通常要求更新客户端软件。由于这些原因,许多企业 IT 部门不愿意向其用户部署第三方热点客户端软件。 |
| • | 没有跨 WISP 的用于处理用户注册和更新其配置的标准化机制。因此,用户体验是支离破碎的,跨提供商的自动无缝漫游可能是很困难的。 |
无线网络注册向导
详细说明
无 线网络注册向导提供用于注册无线热点的用户界面,并指导用户完成提供过程。该向导根据 WISP 提供的提供信息(XML 文件)构建内容。提供信息可以动态下载,或预装在客户端系统上。预装可以由 OEM(新系统)、组织内的 IT 部门或从 WISP 网站提供。WISP 拥有和创建提供信息,并驱动用户的注册和提供体验。以下示例使用预付费代码提供一个简单的无线网络注册向导体验。XML 架构和向导是很灵活的,可以实现更复杂的注册体验。
首先,用户可以右键单击通知区域中的无线网络图标,然后单击“查看可用的无线网络”;或者用户可以对通知区域中指示范围内新无线网络的可用性的通知消息作出响应。当出现“选择无线网络”时,用户选择一个新的无线网络,然后将该网络置于首选网络列表中。
然 后,用户选择一个网络名称 (SSID),再单击“连接”连接到该无线网络。使用基于 WPS 的 Wi-Fi 热点,客户端检测到存在可用的有关网络和提供商的 XML 文件形式的更多提供信息。然后,它向用户确认是否应该下载该提供信息。对于非 WPS 网络,体验应该与当前使用 Windows XP 相同:在用户连接到安全网络时提示用户输入安全密钥;或者在用户试图连接到不安全的网络时,警告用户并询问是否仍然要进行连接。
下载完成后,无线网络注册向导将自动启动,并指导用户完成注册过程。第一个屏幕显示来自提供商的自定义徽标(或横幅)和内容。
后续各屏幕可能包括:选择预订计划,输入信用卡信息、个人信息等。在该示例中,只有一个计划,而且要求用户输入其预付费代码或升级代码,以访问网络。接下来,Wi-Fi 热点部署显示有关所选计划的信息,如服务协议和隐私声明的条款。
在 最后一个屏幕上,向导将要求用户选择该连接的连接首选项。这些默认首选项可以由提供商设置,但是用户可以替代它。例如,如果用户选择每月订阅,且无数据限 制,则他们可能希望只要处于范围内就始终自动连接到网络。如果用户选择“边使用边付费”计划,则他们可能希望控制进行连接的时间,并选择手动连接选项作为 首选项。
第二个选项用于确定客户端是否自动使提供信息保持最新。例如,如果提供商添加新的网络名称、新位置,或者更改网络设置或安全设置,则客户端可以在连接到网络时自动更新信息,而不要求用户进行交互。
在 后续访问提供商的相同或不同位置中的热点或漫游合作伙伴时,以及在选定自动连接时,用户只需再打开移动计算机电源或从待机状态恢复操作,即可自动连接。连 接之后,在“选择无线网络”对话框(可以从“查看可用的无线网络”通知窗口打开)中将显示提供商的好记名称及其徽标,而不是显示隐秘的网络名称或 SSID。
在该对话框中,用户还可以搜索可用的热点位置或查看 WISP 提供的帮助和支持信息。帮助信息和热点位置信息都是作为提供信息的一部分下载的。可以联机或脱机搜索和查看位置信息。
Windows XP Service Pack 2 中对哪些现有功能进行了更改?
更改了无线用户界面 - 新增的“查看可用的无线网络”对话框将替换现有的对话框。
是否需要更改代码才能使用 Windows XP Service Pack 2?
无线提供服务不要求对现有应用程序进行任何更改。有两个用于 WPS 的新 API。其中一个新 API 用于添加 XML 数据和查询计算机上的 XML 数据。该 API 可用于由用户(使用独立应用程序)、OEM 或 IT 部门从 WISP 网站预先提供客户端。
无线网络安装向导
无线网络安装向导的作用是什么?
无 线网络安装向导可帮助用户配置具有增强安全性的无线网络,以及简化在计算机和其他设备上配置无线网络连接的过程。该向导将无线设置(包括配置和安全密钥) 存储在可移动媒体(如可以移动到将组成无线网络的其他设备和计算机的 USB 闪存驱动器)上。该向导还提供了一种打印配置信息的简单方法,以便可以在无法从可移动媒体读取信息的设备上手动输入该信息。
此功能适用于哪些用户对象?
具有包括以下硬件组件的计算机用户
| • | USB 主机端口 |
| • | 已安装的无线网络 注意 该向导可以从没有无线连接的计算机运行。 |
Windows XP Service Pack 2 中添加了哪些新功能?
无线网络安装向导
详细说明
随 着无线网络的日益普及,更多的用户在其支持无线网络的家用计算机和网络计算机以及其他设备中创建无线网络。在 Windows XP Service Pack 2 之前,创建安全的无线网络和将无线设置传播到无线客户端和其他访问点是非常困难的。无线网络安装向导用于满足对配置和引导无线网络硬件(也称为无线访问点 或 WAP)和无线客户端(包括计算机和其他设备)的简单而安全方法的日益增加的需要。
无线网络安装向导为 Windows 用户提供了一种使用可扩展标记语言 (XML) 架构和可移动媒体轻松创建和传播网络设置的方法。在将来,也可能使用该 XML 架构传送广域网 (WAN)、局域网 (LAN) 及无线 LAN (WLAN) 的设置。但是,无线网络安装向导为 Windows XP SP2 创建的 XML 文件将仅用于传送 WLAN 的配置设置。
为什么此更改非常重要?
由于向所有网络组件添加安全标识符的复杂 性,许多家用无线网络是在没有安全选项的情况下部署的。使用该向导,用户可以轻松地创建具有增强安全性的无线网络。随着按照无线硬件支持标准制造出更多的 计算机和设备,对配置和实现该特性的简单方法的需求也不断增加。在许多情况下,设备没有用于输入已经增强安全性的无线网络设置的任何方法。该向导简化了此 类设备的配置,以便部署具有增强安全性的无线网络不是一项繁重的任务。以下列表列出可以使用无线网络安装向导配置的设备的示例:
| • | 无线访问点 |
| • | 台式计算机 |
| • | 网络打印机 |
| • | 照片工作站 |
| • | 数字媒体接收器 |
| • | 电子图片帧 |
| • | 机顶盒 |
| • | 便携式计算机和设备 |
它有助于缓解哪些威胁?
部署时没有安全选项的无线网络。未保护的无线网络为恶意用户提供了一个入口点,这样他们就可以访问数字信息和其他网络资产。
哪些功能发生变化?
这是一个新增向导,它提供了一种配置无线网络的新机制。对于配置计算机和设备(即使这些计算机和设备不直接支持该体系结构),该向导可能非常有用。(您可以创建一个无线网络并打印设置,以便可以将这些设置手动输入到无线设备和计算机中。)
扫一扫
4276
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
