Rekonstrukce Windows XP je tady!

Balík oprav a změn SP2 přichází do distribuce


Uživatelé Windows pamatují hodně změn a převratných okamžiků, ovšem uvedení

balíku úhrnných oprav a změn po názvem SP2 pro Windows XP rozhodně patří mezi

ty nejrazantnější. Máte-li pocit, že se vás to netýká, tak alespoň zbystřete:

svůj omyl brzy rozpoznáte!



Pokud jste sledovali vývoj a přípravy balíku SP2 pro operační systém Windows

XP, možná máte pocit, že jde o prokletí. Významný update pro všeobecně

rozšířený klientský operační systém byl vyvíjen poměrně dlouho, jeho termín

uvedení byl několikrát posunut či zrušen a testování se protahovalo v podobě

dalších a dalších téměř hotových verzí. V průběhu srpna však vše konečně

dospělo ke konci. Nebo spíše na začátek?

Nový SP2 znamená zásadní posun především v oblasti zabezpečení Windows XP. S

mírnou nadsázkou lze říci, že se v této oblasti jedná o větší posun, než od

Windows 2000 k verzi XP. Nezůstalo však zdaleka jen u bezpečnostní

problematiky, neboť zajímavého vývoje se dočkaly i další komponenty, mezi nimiž

určitě zmíníme třeba klientské rozhraní pro práci s bezdrátovými sítěmi nebo

zařízeními standardu Bluetooth.

Ve světle nových skutečností, o nichž si budeme dále povídat, se vysvětlují i

důvody věčných odkladů: nové bezpečnostní technologie vyžadovaly důkladné

testování a Microsoft se zřejmě obával v oblasti plošného firemního nasazení

potíží při jakékoliv drobné chybičce. Ale SP2 je definitivně skutečností, a

proto se pojďme podívat na jeho funkce.



Distribuce

Bezprostřední skutečnost, jež bezesporu zaujme většinu uživatelů, bude jistě

samotná velikost distribučního balení SP2. Pokud jste připojeni k internetu

tradičním vytáčeným připojením či jinou obdobnou variantou komunikačního

kanálu, v podstatě můžete na on-line updatování zapomenout. Při bližším

ohledání totiž zjistíte, že kompletní instalace totiž obsahuje zhruba 200 MB

zdrojových dat, což jistě není jen tak ke stažení. Napadá-li vás v této

souvislosti něco v tom smyslu, že se Microsoft zbláznil a vyměňuje snad

polovinu operačního systému, pak nejste až tak daleko od jádra věci. Řada

poměrně hlubokých koncepčních zásahů si skutečně vyžádala záměnu velkého počtu

systémových komponent a různých nástrojů, takže objem přenášených dat je

značný. V době finální přípravy článku byla distribuce SP2 dostupná v podstatě

pouze pro firemní nasazení formou síťových instalací, koncoví uživatelé

očekávali každou chvíli uvolnění aktualizovaných souborů ve formě tradiční

služby Windows Update. Pro úplnost dodejme, že je pochopitelně možné upravit

původní instalační zdroj Windows XP (typicky v síťovém distribučním adresáři)

pro použití při nových instalacích pomocí technologie tzv. slipstreamu, čímž

získáte občerstvenou instalační variantu. Z uživatelského hlediska se zavádění

SP2 v podstatě rovná upgradu na nový operační systém a probíhající procedury to

také opticky výrazně připomínají.



Křižácké tažení za bezpečností

Jedním z hlavních motivů, jenž přivedl společnost Microsoft k výsledné podobě

balíku SP2, byla přes veškeré úsilí stále se zhoršující „všeobecná bezpečnostní

situace“ uživatelů Windows XP. Problém nespočíval ani tak v tom, že by bylo

potřeba přidat spoustu nových komponent a funkcí, i když se tak nakonec stalo.

Potíž byla spíše toho druhu, že uživatelé existující mechanismy ignorovali či

nedokázali účinně používat a výsledkem byly nekontrolovatelné záplavy

„červových“ epidemií a podobných katastrof. Na první pohled to vypadá, že

tvůrcům Windows leží ochrana domácích uživatelů velmi na srdci, ovšem realita

bude zřejmě prostší: zmíněnou laxností při definování bezpečnostních pravidel

totiž v důsledku trpěli především velcí firemní zákazníci, jejichž jinak slušně

ošetřené počítače se stávaly cílem lavinovitých nákaz, které se šířily z

internetu od domácích, nepoučených či nepoučitelných masových uživatelů. Proto

tvůrci Windows razantně zakročili a rozhodli se nastolit taktiku, zajišťující

relativní bezpečí právě v případě pasivity běžného uživatele. O praktických

důsledcích si povíme v následujících odstavcích.



Řídíme zabezpečení

Z pohledu správy operačního systému je zásadní novinkou komponenta Security

Center, jež poskytuje centrální rozhraní pro konfiguraci zabezpečení a

sledování běhu jednotlivých komponent. Nejedná se jen o pouhé vylepšení

grafického uživatelského rozhraní na pozadí tohoto Bezpečnostního centra stojí

samostatná služba operačního systému, jež průběžně hlídá ostatní součásti a v

případě nesrovnalostí reaguje grafickým upozorněním podle aktuálního nastavení.

Právě tato služba je zodpovědná za zobrazení ikony v prostoru systémové lišty

vpravo dole „vedle hodin“, a pokud by tedy na počítači došlo k náhlému

„zmizení“ ovládacího bezpečnostního centra, zkuste zkontrolovat, zda služba

stále běží a případně ji restartujte.

V grafickém rozhraní Security Center nalezne uživatel přístup ke konfiguraci

nejdůležitějších částí z pohledu ochrany počítače. Z tohoto místa je přístupné

ovládání osobního firewallu, definování chování služby Automatic Update pro

stahování aktuálních záplat, dále lze detekovat instalovaný antivirový software

a přistupovat ke konfiguraci internetového zabezpečení. Samozřejmostí jsou

odkazy na stránky s nápovědou a on-line propojení na zpravodajství o aktuálních

hrozbách na internetu.



Reinkarnace osobního firewallu

Poměrně zajímavým vývojem prošla součást, na níž jsme narazili již v „běžném“

provedení Windows XP. Ochranný prvek pro kontrolu síťového provozu pod názvem

Internet Connection Firewall je standardní součástí základní instalace systému

již od počátku a dokáže odvést dobrou práci. Přesto si tvůrci systému velmi

dobře uvědomovali jeho omezení, související především s minimálními možnosti

konfigurace, což stále a neomylně vedlo uživatele k používání jiných programů

tohoto druhu.

V SP2 se osobní firewall převtěluje do nástroje s řádově lepšími možnostmi pro

správu a je vybaven opravdu žádoucím nastavením při ochraně komunikačních toků.

Zásadní je již změna režimů jeho běhu, ačkoliv vypadá na první pohled

nenápadně. Uživatel může ochranu buď úplně vypnout, druhou možností je pak

zapnutí s akceptováním ručně nastavitelných výjimek (dále je ještě zmíníme).

Třetí variantu představuje opět spuštěný firewall, ovšem s vyloučením všech

definovaných výjimek. Režim poslední, nejpřísnější, je především určen pro

situace, kdy se třeba s mobilním počítačem ocitnete v cizí síti.

Právě správa výjimek pro připojení je další znatelnou novinkou. Zde se tvůrci

přiblížili konkurenci a nabízejí možnost přiřadit povolení pro komunikaci na

bázi aplikace, což uživatelům značně usnadňuje orientaci v problému. Ale

nezůstalo jen u lepší ovladatelnosti definice pravidel na aplikační bázi totiž

přináší zcela zásadní principiální změnu hluboko v nitru firewallu. Dřívější

způsob nastavení výjimek pomocí čísel portů byl totiž těžko použitelný v

situaci, kdy si aplikace otevírala více kanálů s neočekávanými parametry. V

nové podobě firewall otevírá porty dynamicky, podle požadavků aplikace, jíž

jste toto právo přiřadili. Na první pohled nenápadná, ale v praxi vynikající

proměna. Kromě přednastavených služeb pro sdílení souborů a tiskáren či

terminálovou Vzdálenou plochu je možné pochopitelně přidávat další uživatelské

definice, založené jak na konkrétní aplikaci, tak na tradičních číslech portů

protokolové sady TCP/IP. Avšak nejen to dalším vylepšením je možnost přiřadit

každému pravidlu tzv. scope (tedy „rozsah působnosti“), což dovoluje akceptovat

výjimku jen při komunikaci na určitou síťovou adresu, jejich kolekci či celou

podsíť.

Právě s výběrem určitých sítí souvisí i další zásadní vylepšení, jímž je

přiřazení bezpečnostních pravidel určitému definovanému síťovému rozhraní.

Pokud váš počítač disponuje více síťovými adaptéry, několika možnostmi

připojení internetu pomocí vytáčené linky či připojením do firemní sítě

prostřednictvím VPN, lze působnost firewallu jednoznačně vymezit na potřebná

rozhraní.

Z dřívějších možností pochopitelně zůstalo k dispozici podrobné protokolování

událostí a detailní nastavení průchodu služebního protokolu ICMP pro kontrolu

konektivity, příjemnou novinkou je pak pro běžného uživatele volba „Restore

Defaults“, dovolující při narušení konfigurace navrátit firewall do

„továrního“, výchozího nastavení.

Na závěr doplňme informaci o vlastnosti, která je o to důležitější, oč méně je

vidět. Nové provedení firewallu totiž při startu operačního systému nabíhá

velmi časně a nedává síťovým rozhraním čas pokusit se o nechráněnou komunikaci,

což dřívější verze takto důsledně neuměla. Neznatelné, ale zásadní vylepšení!



Bojujeme s viry

Protože tento titulek možná vzbudil velké naděje či naopak obavy, je potřeba

jej uvést na pravou míru. V první řadě, Microsoft neimplementoval do systému

žádný vlastní antivirus, ani nevybral pro tento úkol některého z dodavatelů. V

rozhraní Bezpečnostního centra je však k dispozici položka, jež dovoluje

kontrolovat běh této životně důležité součásti a indikovat nefunkčnost či

nepřítomnost na počítači. Co tedy tvůrci SP2 připravili, je rozhraní pro

antivirové aplikace, jež se mohou takto napojit na „centrální zpravodajství“ a

podávat informaci o své práci. Pomocí tohoto rozhraní je podporováno připojení

nejběžnějších antivirových programů a jejich výrobci jistě budou nadále na této

vymoženosti pracovat.



Štít pro webovou komunikaci

Zajímavého vylepšení se v SP2 dočkala i další kmenová součást Windows XP,

prohlížeč Internet Explorer. Ačkoliv je již dnes nabitý všemožnými pravidly pro

omezení potenciálních rizik, dosud chyběla jinak všeobecně používaná a

uživateli ceněná komponenta pro blokování pop-up („vyskakovacích“) oken.

Konfiguraci této funkce naleznete v ovládacím panelu Internet Options v dolní

části na kartě Privacy. Kromě toho, že filtr lze úplně vypnout, je pochopitelně

možné definovat úroveň ochrany, což učiníte po stisknutí tlačítka Settings.

Nejpřísnější režim blokuje vše, co se pokusí o otevření i po uživatelově

výslovném pokusu, prostřední volba hlídá především automatická okna a

nejbenevolentnější varianta dovoluje úplné otevírání automatických oken, ovšem

jen ze stránek označených jako bezpečné. Samozřejmě i v případě této funkce lze

definovat seznam výjimek a označit tak stránky, které budou automaticky

důvěryhodné. Protože práce s pop-up okny je často žádoucí, Internet Explorer je

samozřejmě vybaven novým prvkem grafického rozhraní, pomocí něhož lze

zablokovaná okna výslovně povolit a otevřít. To vše v režii uživatele.

Další změny v Internet Exploreru jsou o něco méně nápadné, avšak také poměrně

důležité. Přepracovány byly dialogy pro stahování souborů a především pro

spouštění vzdálených skriptů či programových komponent ActiveX. Tvůrci

zapracovali do prohlížeče nové rozhraní pro správu „odsouhlasených“ či

„zamítnutých“ programových kódů, důsledně lze sledovat digitální podpisy těchto

komponent a samozřejmě kdykoliv dodatečně konfiguraci upravit.



Bez updatu ani ránu

Nezbytným základem bezpečnosti systémů Microsoftu zůstává průběžná aktualizace

operačního systému pomocí bezpečnostních záplat. Výrobce si je této skutečnosti

plně vědom a aby uživatele ještě těsněji přiblížil k provádění pravidelných

aktualizací, bez nichž může dojít skutečně k fatálním situacím, přepracoval i

tuto součást, známou jako Windows Update, v případě firemního nasazení pak

součást pokročilejší služby SUS (Systém Update Services). V novém Bezpečnostním

řídícím centru najdete související volby pod označením Automatic Updates.

Služba je schopna zajistit několik úrovní ošetření operačního systému.

Nejdůslednější variantou je automatická detekce nových záplat pro váš systém,

jejich bezodkladné stažení z internetu a následná instalace. Tuto operaci lze

načasovat buď v každodenním cyklu, nebo v režimu „jednou týdně“, samozřejmě s

určením hodiny během dne. Druhým, mírnějším režimem je automatická detekce a

stažení záplat, ovšem s vyčkáváním, až uživatel potvrdí instalaci. Třetí

funkční konfigurací je detekce dostupnosti updatů na internetové stránce, bez

downloadu či instalace. Větší benevolence neexistuje poté lze již službu pouze

zcela odstavit mimo provoz. V případě potřeby lze z téhož grafického rozhraní

samozřejmě aktualizaci zavolat interaktivně, v daný okamžik, tak jak jsou

důslední uživatelé zvyklí z dřívější verze.

Právě v oblasti automatických bezpečnostních updatů se výrazně uplatnila výše

zmíněná taktika pasivní ochrany systému i při laxním přístupu uživatele.

Komponenta je ve výchozí podobě nastavena tak, aby systém žádal a prováděl

prostřednictvím funkčního internetového připojení pravidelné sledování výskytu

nových záplat a následnou instalaci po úspěšném stažení. Záměru odpovídá i

grafická interpretace těchto nastavení: pokud funkci budete vypínat, samozřejmě

bude následovat opakované neodbytné varování a „šikanování“ nedůsledného

uživatele, s cílem přimět jej alespoň občas k průběžné kontrole a případnému

zavedení opravných záplat. Ne že by celou službu nebylo možné zcela pozastavit,

ovšem pokud zůstane v běhu, svou „hlídací“ a povzbuzovací funkci zastane velmi

dobře. Nutno dodat, že z hlediska uživatelské čitelnosti probíhá updatování

transparentně a celkem bezbolestně.



Komunikujeme bezdrátově

Výrazný důvod k radosti rozhodně mají uživatelé bezdrátové komunikace, a to jak

vyznavači Wi-Fi přenosů, tak příznivci krátkodosahové technologie Bluetooth.

Již v průběhu uvolňování postupných testovacích verzí SP2 bylo patrné, že

klientské rozhraní pro práci s Wi-Fi sítěmi dozná zajímavých změn. Výsledek je

rozhodně příjemným překvapením. Již samotná konfigurace potřebných parametrů

pro zprovoznění bezdrátových přenosů je snazší díky zcela novému průvodci, při

jehož použití možná oceníte i jednu nenápadnou drobnost: poprvé zadané

parametry je možné okamžitě uložit na externí médium (USB paměťový disk) a jak

asi správně tušíte, pouhým přenosem na další počítače a opětovným zavoláním

průvodce tak můžete následně snadno konfiguraci opakovat. Do zcela nové podoby

se přerodilo ovládací rozhraní dostupných bezdrátových sítí, jež před SP2 v

podstatě téměř neexistovalo. V současném provedení máte k dispozici kvalitní

přehled možností připojení, konfigurace je po ruce a je tedy zase o důvod méně

instalovat ne vždy spolehlivý a stabilní proprietární software výrobců

bezdrátových síťových karet.

Příjemného překvapení se dočkali také uživatelé zařízení pro komunikaci pomocí

Bluetooth. Funkcionalita, jíž jste dříve museli opět zajišťovat povětšinou

externí aplikací od výrobce příslušného hardwaru, je nyní dostupná přímo v

klientském nástroji ve Windows. Tento ovládací panel je k dispozici od chvíle,

kdy nějaké zařízení Bluetooth připojíte, a nabídne vám přehled dostupných

komunikačních partnerů stejně jako možnost nastavit základní parametry pro

spojení, včetně ochrany sdíleným klíčem. Uživatelsky velice snadné je pak

přenášení souborů či přímá správa vzdálených zařízení pomocí přehledného

grafického rozhraní.



Pro každého něco

Ačkoliv z předchozích odstavců by se mohlo zdát, že změny v SP2 se týkají jen

síťování či bezpečnosti, zdaleka tomu tak není. Přestože bezpečnostní

problematika byla již rozebrána důkladně, čekají na uživatele i jiné

zajímavosti. Třeba majitelé varianty Windows XP Tablet PC Edition budou možná

dosti překvapen, že po aplikaci balíku Service Pack se bude jejich systém

rovnou tvářit jako Windows XP Tablet PC Edition 2005! K nejzásadnějším změnám v

tomto případě došlo u nástrojů pro přímý vstup informací pomocí dotykového

panelu, takže uživatelé mohou ocenit flexibilnější chování kontextových

vstupních dialogů či vylepšené možnosti při optickém rozpoznávání rukou přímo

zapisovaných textů. Zkrátka nepřijdou ani fandové multimediálních aplikací.

Jako součásti SP2 se totiž objeví také úhrnná sada komponent, jež zčásti přišly

již dříve, avšak takto pohromadě dosud distribuovány nebyly. Nedílnou součástí

systému se tak stává dříve volitelný Windows Media Player 9, který možná již

nějakou dobu používáte, do aktuální verze 2004 se též promění Windows XP Media

Center Edition.



Ve firemní síti

Tak významná proměna klientského operačního systému, jaká se odehrává v SP2,

pochopitelně nemohla zůstat bez odezvy na straně nástrojů a řešení pro

korporátní implementace. Krom důsledného testování, jež mělo zajistit co možná

nejhladší nasazení balíku na klientské počítače v rozsáhlejších sítích,

samozřejmě tvůrci připravili též prostředky pro centrální řízení nově

zavedených funkcí.

Za předpokladu, že řízení větší sítě je postaveno na službě Active Directory,

tedy prostřednictvím doménové technologie Windows 2000 či Windows 2003 Server,

se nám nabízí optimální mechanismus pro centralizované ovládání klientských

nastavení pomocí mechanismu Group Policy. Spolu s SP2 byla připravena nová

administrativní šablona, jež zahrnuje bohatou škálu nastavení nových funkcí pro

zabezpečení a dovoluje tak ovládat vymoženosti SP2 pomocí osvědčené

technologie. Z pohledu správce je asi nejsnazším postupem pro přidání

administrativních šablon cesta možná trochu překvapivá: po instalaci SP2 na

první, třeba testovací stroj s Windows XP, stačí na tomto počítači otevřít

novou konzoli MMC, přidat snap-in Group Policy s odkazem na potřebnou doménovou

politiku a otevřít ji pro editaci. V tuto chvíli dojde, pokud je doménová

struktura ve výchozím nastavení, k automatickému updatu administrativních

šablon na doménovém řadiči a postupně při replikacích v celé síti. Pokud je

takovéto chování pro vás naopak nežádoucí, nezapomeňte funkci zakázat

prostřednictvím parametru v administrativní šabloně v položce Group Policy.

Z hlediska samotné volby parametrů jsou jednotlivé novinky rozesety napříč

šablonami, takže nenajdete nic jako „SP2 na jednom místě“. Obohaceny byly

především parametry pro automatický update, ve složce Networks najdete zcela

novou podsložku Windows Firewall. Ta obsahuje dvě identické kolekce nastavení,

určující chování klientských počítačů a jejich firewallů v závislosti na tom,

zda je uživatel přihlášen do domény či spouští stroj pouze pod lokálním

nedoménovým účtem. I tato koncepce je opravdu velmi zdařilá.



Máme se bát?

Instalace „rekonstrukčního“ balíku pro Windows XP rozhodně představuje výrazný

krok vpřed. Jak uživatelé domácích počítačů, tak administrátoři rozsáhlých

firemních sítí v něm oprávněně mohou očekávat a spatřovat další posun v

možnostech zajištění odolnosti systému proti nežádoucím kalamitám, ovšem jako

vždy v případě, že nové funkce budou nakonfigurovány a zapnuty.

Na druhou stranu tak zásadní kůra, jakou vaše počítače projdou, nemůže zůstat

zcela bez následků, a na tuto skutečnost je potřeba se připravit. Pomineme-li

potenciální chyby a nefunkčnosti, s nimiž koncový uživatel bojuje těžko, stále

tady zůstává nezanedbatelný fakt, že některé důvěrně známé aplikace či rozhraní

Windows se najednou budou chovat neočekávaně a překvapivě. Nechť se tedy

pohybujete v domácím či firemním prostředí, věnujte alespoň minimální úsilí

seznámení s novinkami, jež přicházejí, a poučte sebe či další uživatele o

některých funkcích, jež např. výrazně ovlivňují chování Internet Exploreru.

Nenastanou-li jiné potíže, může být hledání dobrého soužití s novými Windows XP

současně seznámením s novými a zajímavými funkcemi.

P. S.: Na sklonku prázdnin je SP2 v mnoha firemních sítích nekompromisní

realitou. Uživatelé i správci mohou doceňovat nové vymoženosti, na druhou

stranu se třeba objevily první problémy při komunikaci s některými typy

přenosných počítačů. Na webových stránkách se též objevují první články o tom,

jak obelstít některá zbrusu nová bezpečnostní nastavení Internet Exploreru.

Výrobce kontruje prohlášením, že na všechny scénáře zkrátka systém nepamatoval

a cíle vývojářů zahrnovaly jen určitou skupinu problémů. Prostě a jednoduše

řečeno, Windows XP SP2 jsou opět krokem vpřed, ovšem ani tentokrát to zákonitě

nemohl být krok poslední.