Windows и Linux: что безопаснее?
кий статус – Важная. Причина этого разли
интерфейс Windows как главное преимущест
чия в том, что установленные в Windows
во Windows Server 2003.
Server 2003 настройки по умолчанию отлича
2. В приведенный ниже список (табл. 1) включе
ются от настроек по умолчанию в других вер
ны бреши, уровень серьезности которых ог
сиях Windows. Microsoft следующим образом
раничен в соответствии с полномочиями
описывает различные настройки7:
пользователя. Эти случаи отмечены в таблице:
«Уровень безопасности, установленный для
в столбце «Полномочия» указано «Пользова
зоны Интернет – Высокий. Такая настройка
тель». Но поскольку Windows Server 2003 –
запрещает загрузку скриптов, элементов уп
это сервер, то очевидно, что большинство
равления ActiveX, Microsoft Java Virtual
пользователей, непосредственно работающих
Machine (MSJVM), HTML контента и файлов.
на компьютере под управлением Windows
Отключено автоматическое обнаружение
Server 2003, будут администраторами. Даже
сайтов интрасети. Такая настройка переда
если предположить, что все станут использо
ет все web сайты интрасети и все сетевые
вать оптимальные приемы работы на настоль
пути UNC (Universal Naming Convention), не
ном компьютере, очевидно, что администра
перечисленные в явном виде в зоне локальной
торы Windows Server 2003 входят в систему с
интрасети, в зону Интернет.
полномочиями администратора. Поэтому в
Заблокированы установка по требованию
тех случаях, когда серьезность брешей «огра
(Install On Demand) и использование дополни
ничивается» полномочиями пользователя,
тельных компонентов web навигатора, раз
большую часть времени уровень серьезности
работанных не компанией Microsoft. Такая на
фактически не уменьшается, так как пользо
стройка не позволяет web страницам авто
ватель будет иметь полномочия администра
матически устанавливать дополнительные
тора. В качестве примера можно привести
компоненты, а также не позволяет функцио
брешь, описанную в Microsoft Security Bulletin
нировать компонентам, разработанным не
MS04 015. По указанной выше причине эта
компанией Microsoft.
брешь заслуживает оценки Критическая, а не
Заблокирован мультимедиа контент. Такая
Важная. Парадоксально, но подобные бреши
настройка не позволяет запускать музыкаль
в Linux заслуживают понижения оценки, по
ные клипы, анимационные клипы и видео
тому что Linux не предлагает администрато
клипы».
рам работать в графической среде непосред
Хотя некоторые из этих настроек по умолча
ственно на сервере.
нию (например, блокировка мультимедиа
контента) абсолютно логичны для сервера,
Приняв во внимание все обстоятельства,
почти невозможно представить, чтобы кто
следует оценить как Критические еще по меньшей
либо из использующих Windows Server 2003
мере пять уязвимостей. Это означает, что по пока
не изменил настройки, описанные в первом
зателям, описанным в предыдущих разделах, 50%
абзаце. Эти настройки делают Internet
перечисленных брешей оцениваются как Крити
Explorer почти бесполезным для администра
ческие. Если уязвимость должна иметь оценку
тора сервера, желающего использовать web
Критическая с учетом того, что администратор,
навигатор для выполнения административных
скорее всего, изменит те настройки по умолча
задач, загрузки обновлений и т. д. Понижать
нию, благодаря которым Microsoft понизила уро
уровень серьезности, предполагая, что поль
вень серьезности, то этот факт отмечается в скоб
зователи Windows Server 2003 оставят такие
ках. Но при общем сравнении эти уязвимости не
настройки по умолчанию без изменений –
рассматривались как Критические. Комментарий
значит, в лучшем случае, заблуждаться. Если
в скобках показывает, что Microsoft преднамерен
бы пользователям Windows Server 2003 пред
но недооценивает серьезность данной бреши на
лагалось администрировать сервер удаленно,
основании необоснованного допущения – наст
это могло бы уменьшить данную угрозу. Но
ройки по умолчанию, установленные в Windows
Microsoft рекламирует знакомый локальный
Server 2003, существенно меняют ситуацию.
7 Default Settings Different on Windows Server 2003 Эти настройки перечисляются на нескольких страницах в разделе
«Frequently Asked Questions, What is Internet Explorer Enhanced Security Configuration?» Вот одна из таких страниц:
http://www.microsoft.com/technet/security/bulletin/ms03 032.mspx
21
|