или о том, как дурят нашего брата

Поводом к написанию этого материала стал выпуск Microsoft в официальное обращение пакета обновлений Update Rollup 1. Будут рассмотрены как положительные, так и отрицательные стороны внедрения этого пакета, чтобы все - от системных администраторов до частных пользователей - разобрались, что за зверя продемонстрировала нам Microsoft.

1. Пакеты обновлений Update Rollup. Теория

После того, как сотрудник Microsoft допустил (случайно или умышленно - не суть для нас важно) в форуме оговорку, что ServicePack 5 для Windows 2000 не будет, системные администраторы пригорюнились и еще сильнее сплотили ряды, обмениваясь опытом создания slipstreaming (включающих в себя все дополнения на определенный момент) пакетов. Однако 30 апреля 2005 года Microsoft официально выпустила в бета-тестирование Update Rollup пакет для Windows 2000 Service Pack 4. Спустя полтора месяца тестеры вернули пакет на доработку, и с 26 июня 2005 года пакет стал официально доступен для всех желающих. Номер статьи базы данных Microsoft, в которой он описан, - 891861 (последняя ревизия датирована 30 июня 2005 года).

Что же такое Rollup-дополнение? Официально этим термином называют пакет дополнений, по размеру и количеству изменяемых файлов находящийся между hotfix и ServicePack. Накладываются роллапы на имеющийся в наличии сервиспак. Применяются Rollup для удобства управления обновлениями. Сборщик пакета сам определяет порядок и количество внедряемых обновлений.

Rollup уже использовались Microsoft ранее, как для Windows 2000, так и, например, перед первым Service Pack для WindowsXP. Уже тогда они доказали свою полную профнепригодность для "большого спорта", оправдав себя только в качестве сырого (но готового для дальнейшего усовершенствования) полуфабриката. Microsoft никогда и не позиционировала Rollup как полноценную замену ServicePack. Вот что гласит FAQ из KB: "Рассматриваемые продукты не сравнимы между собой принципиально, они нацелены на разные ниши. Rollup выпускаются тогда, когда разрыв между сервиспаками становится угрожающе (наверное, управляемости) большим. А сервиспаки выпускаются перед выходом новых версий основных операционных систем. С удлинением жизненного цикла операционной системы как программного продукта все более удобной для массового распространения становится форма роллапов". Да и готовятся программистами роллапы куда быстрее сервиспаков. Если учесть, что официальная поддержка Windows 2000 закончится не раньше 1 января 2010 года, то есть все основания предположить, что мы держим в руках не последний роллап для Windows 2000. Очень уж неправдоподобно звучит лозунг "Максимум удобства - минимум риска".

2. Состав пакета UR1/W2KSP4. Практика

Полный список хотфиксов, которые включены в рассматриваемый роллап, можно найти в тексте статьи из KB. Здесь я бы хотел остановиться на сопоставлении этого списка с полным списком хотфиксов, которые необходимо накладывать на Windows 2000 ServicePack 4. Список такой находится на странице Microsoft TechNet (www.microsoft.com/technet/security/current.aspx). Полная таблица, сопоставляющая включенные хотфиксы, находится у меня на сайте (crowngold.narod.ru/mustdie.htm).

Итак, Microsoft внедрила в UR1 три десятка хотфиксов, имеющих отношение как к самой Windows, так и к некоторым ее компонентам (MDAC, Framework). Официально не внедрено ни одно дополнение для Internet Explorer, так как менеджеры Microsoft силой заставляют нас переходить на IE6, а в Windows 2000 внедрена его 5-я версия, патчи распространять к которой - пустая трата трафика, так как IE5 практически уже не используется нигде (по данным службы поддержки самой компании).

Однако не были внедрены более старые обновления, и это объясняется отличием в используемых хотфиксами технологиях (были внедрены только на основе update.exe). В отличие от внедренных хотфиксов, UR1 в дистрибутив Windows не интегрируется абсолютно корректно (документированный ключ /intergrate работает не так, как следовало бы). Также (что естественно) в UR1 отсутствуют хотфиксы, датированные маем-июнем 2005 года, так как в это время его разработка уже была прекращена (см. первую часть).

Непонятно, зачем Microsoft внедряла хотфиксы, которые были заменены более поздними. Если исходить из того, что UR1 добавит в реестр запись, свидетельствующую о наличии хотфикса (для совместимости с контролирующим ПО), то такой ход кажется логичным. Однако, как будет проиллюстрировано ниже, записей таких UR1 не создает и вообще ведет себя крайне загадочно.

Еще более загадочными кажутся уверения Microsoft, что UR1 несет, помимо хотфиксов, свои собственные дополнения для системы безопасности. Я вручную разобрал роллап "по файлику" и не нашел ни одного файла с версией, отличающейся от версии файла, накладываемого с самым свежим на 30 апреля 2005 года хотфиксом. Оправданием "мелкомягким" может служить только второпях (в КВ891861) брошенная ремарка "К сожалению, иногда в более свежем хотфиксе последняя версия файла замещалась предыдущей. Уверяем вас, это было сделано только по многочисленным жалобам на нестабильность последней версии со стороны наших пользователей". Не отсюда ли возникают "глюки"? Полный список компонентов, которые изменяются, находится в статье базы знаний KB900345.

Наконец-то, Microsoft разобралась с наболевшим вопросом безопасности Telephone API. После наложения UR1 на Windows2000 SP4 клиент телефонии принимает ИСКЛЮЧИТЕЛЬНО шифрованные RPC пакеты, что не может не радовать. Поставлен надежный заслон "юным хацкерам", которые могут попытаться взломать сеть вашего офиса, если им такая возможность представится. "Серьезных дядек в пальто", конечно же, это не остановит. Зато всем сисадминам, ранее не радевшим о включении механизма шифрования пакетов, придется подсуетиться и либо включить его, либо перейти на альтернативные методы соединения.

3. Бестиарий. Поведенческие реакции стороннего программного обеспечения

Указанные изменения в TAPI потребуют включения шифрования, иначе стандартные телефонные клиенты подсоединяться не смогут.

Если на чистый дистрибутив Windows 2000 SP4 наложить только UR1 (как настоятельно рекомендует Microsoft сисадминам и сборщикам компьютеров), то все программы для инспектирования сетевой безопасности, которые частично основаны на удаленном подключении к реестру исследуемого компьютера, не смогут определить, что Windows "считается безопасным" на 30 апреля 2005 года, и будут требовать наложения индивидуальных хотфиксов. К таковым относятся Shavlik Quickinspector, Microsoft Security Baseline Analyser, Microsoft Malware Removal Tool, QFE NetCheck, XSpider.

Служба Microsoft Automatic Updates не распространяет UR1 до тех пор, пока не будет с версии 4 переведена на версию 6. До указанного момента UR1 скачивается и накладывается исключительно вручную. Исключение составляет серверный сервис MS SUS 1.1, который преспокойно распространяет UR1 (если его, естественно, авторизовать для распространения) как хотфикс размером 33 мегабайта. ;)

4. Резюме

Итак, резюмируя, UR1 - это хорошее подспорье для человека, администрирующего не подключенный к сети (и тем более, Сети) компьютер. Один раз поставил - и живи себе в уверенности, что твою систему никто не "заломает". Во всех остальных случаях использование UR1 может быть рекомендовано только врагу.

Дядюшка хардовик Mexicanetz Express,
crowngold.narod.ru