:: Обзоры | Win NT/2000/XP
Наработки Microsoft no OS/2 New Technology были в 1993 г.
выпущены на рынок под названием Windows NT. Версии 3.x и 4.0
этой системы обеспечивали совместимость с 16-разрядными
приложениями для OS/2 1.x в отдельной подсистеме, без
возможности обращаться из 16-разрядных приложений к
32-разрядным DLL и наоборот. В описываемый период из DEC в
Microsoft в полном составе перешла команда разработчиков
ядра VMS под управлением Д. Катера. Microsoft широко
рекламировал этот факт и утверждал, что Windows NT находится
с VMS в гораздо более близком родстве, чем с OS/2 1.x.
Наиболее важные заимствования из VMS — страничная подкачка и
идентификация пользователя на уровне процессов — являлись
ответом на насущные требования развития системы и могли быть
заимствованы из любой ОС, адекватной времени. В остальном,
табл. П.1 показывает, что OS/2 1.x, безусловно, приходится
Windows NT гораздо более близкой родней, чем VMS.
Наиболее важной заимствованной концепцией была журнальная
файловая система NTFS, представляющая собой любопытный
гибрид HPFS (основной ФС OS/2) и FCS2 (основной ФС VAX/VMS).
Это заимствование следует признать довольно удачным. Гораздо
менее удачным было заимствование своеобразной стратегии
управления рабочими множествами процессов в ОЗУ,
используемой в VMS: разработчики Microsoft устранили из этой
стратегии одно из ключевых понятий, квоту размера рабочего
множества. В результате получилась система, практически не
способная воспользоваться преимуществами страничной
подкачки, потому что даже небольшая нехватка оперативной
памяти приводит к резкому падению производительности из-за
неспособности системы сбалансировать потребности приложений
и дискового кэша. Еще одна ключевая для понимания
архитектуры Win32 концепция была позаимствована вовсе не из
VMS и даже не из OS/2 1.x, а была, скорее всего, введена по
настоятельным просьбам разработчиков графических приложений
для Apple Macintosh. Речь идет о системном реестре (system
registry), централизованной базе данных, в которой все
модули системы, стандартные утилиты и прикладные программы
хранят все, что считают нужным сохранить.
Системный реестр впервые был реализован в Mac OS. Эта
система имеет довольно простое ядро и небогатый набор
системных настроек, поэтому реестр Mac OS в основном
содержит настройки прикладных программ и в такой форме
вполне терпим. Напротив, довольно сложная
многопользовательская Windows NT, поддерживающая широкий
спектр внешних устройств, нуждается в большом объеме
конфигурационных данных для самой системы. Характер
обращений к разным частям этих данных сильно различается —
некоторые, например, нужны только при загрузке системы, а
изменению подлежат только при изменении аппаратной
конфигурации. Другие же меняются при каждом открытии нового
окна пользовательской программой. Относительная ценность
этих данных также различается очень резко: искажение
некоторых может привести к невозможности загрузить систему
или к потере пользователями доступа к ней, некоторые другие
можно было бы и не хранить вовсе. В свете этого, идея общей
"свалки", в которой содержится все на свете, — начиная от
слов, которые произносил пользователь, пытаясь убрать с
экрана знаменитую скрепку, и заканчивая БД учетных записей
-представляется автору не очень-то здравой мыслью.
В Windows NT этот концептуальный недостаток усугубляется
недостатками реализации — реестр не имеет адекватных средств
резервного копирования и восстановления (при фатальных
повреждениях реестра Microsoft рекомендует переустановку
системы) и фактически лишен средств самоконтроля и
диагностики. Во всяком случае, в версии 4.0 (автор не имел
случая проверить это на более поздних версиях системы, но
судя по тому, что исправление этой ошибки не анонсировалось,
в 2000/ХР ситуация не изменилась) ОС никогда не уменьшала
объем реестра, даже после удаления большого количества
ключей.
Еще одним важным новшеством была поддержка нескольких
процессоров — кроме х8б первые версии Windows NT были
реализованы для RISC-процессоров MIPS и DEC Alpha, и,
существенно позднее, для PowerPC. Большинство
RISC-процессоров не имеют многоуровневых режимов доступа,
характерных для VAX и 80286Д86, поэтому разработчики Windows
NT были вынуждены отказаться от привилегированных
разделяемых библиотек (понятие, которое в той или иной форме
присутствовало как в OS/2 1.x, так и в VAX/VMS) и перейти к
двухуровневой системе привилегий.
Разработчики приложений не проявили интереса к
альтернативным аппаратным архитектурам, поэтому NT на этих
архитектурах не имела большого успеха, и в 1999 г. без
большого шума была прекращена поддержка Windows NT для
последнего неинтеловского процессора, который к тому времени
уже назывался Compaq Alpha [techupdate.zdnet.com]. К тому
же, пока NT была малоиспользуемой системой с бедным набором
сетевых сервисов, мало кто всерьез интересовался ее взломом.
Это привело к усилению давления со стороны управленцев -
"вот видите, у соседей стоит -- и ничего", поэтому серверы
под управлением NT все чаще и чаше подключались к Internet,
иногда даже без закрытия каким-либо брандмауэром (надо
отметить, что firewall (брандмауэр) в данном случае мало чем
может помочь — сайт [www.microsoft.com] закрыт
маршрутизатором с фильтрацией пакетов "по самые уши", и то
его "роняют" несколько раз в год). Распространение системы
привело к тому, что взломщики из спортивного интереса
заинтересовались ею всерьез. Первой ласточкой был выпущенный
в 1997 г. свободно распространяемый продукт Back Orifice
(дословно — "задний проход"), демонстрировавший целый набор
способов получения неавторизованного доступа (в том числе и
с последующей установкой троянских программ) к системам
Win32. Устанавливаемый в качестве троянской программы
компонент пакета долгое время был лучшим из доступных
инструментов удаленного управления Win32-системами и автор
знает немало системных администраторов, которые использовали
его в своих сетях [www.sourceforge.net bo2k]. Впрочем, одна
ласточка весны не делает, и еще три года пользователи
Win32-cHCTCM жили относительно спокойно (если можцо считать
спокойной жизнью постоянную борьбу с макровирусами для MS
Office, почтовыми вирусами и другими порождениями больной
фантазии). За это время в систему добавились новые сетевые
сервисы и расширилась номенклатура сервисов, запускаемых при
установке ОС по умолчанию — например, в их число попал
флагманский серверный продукт, сервер ftp/HTTP и ряд других
протоколов, IIS (Internet Information Server). Собственно
весна настала в августе 2001 г. с пандемией сетевого червя
Code Red, который, как и червь Морриса, использовал
несколько каналов распространения, в том числе срывы буфера
в сетевых сервисах IIS. Как и червь Морриса, заразив одну из
машин домена, Code Red распространялся на другие машины того
же домена простым копированием по сети. Дальнейшее развитие
событий, впрочем, резко отличалось от последствий атаки
червя Морриса: Microsoft довольно быстро выпустила заплаты (patches),
исправлявшие часть используемых вирусом ошибок — однако
полное количество ошибок, оставшихся в коде системы и
сетевых сервисов, от этого почти не изменилось. Атаки червей
и поливалентных (использующих несколько каналов
распространения) вирусов, которые легко преодолевают
корпоративные брандмауэры (firewalls), продолжались на
протяжении всего 2001 г., демонстрируя все новые и новые
проблемы в системе безопасности Windows NT/2000/XP. В
опубликованном в сентябре 2001 г. докладе аналитическая
компания Gartner Group рекомендовала ни при каких
обстоятельствах не использовать IIS из-за огромного
количества известных и весьма пессимистических прогнозов на
количество неизвестных уязвимостей. К моменту написания
книги прогнозировать дальнейшее развитие событий не
представлялось возможным. Очевидно, что ситуация с
безопасностью Windows может только ухудшаться — или, точнее,
абсолютная нетерпимость положения дел с безопасностью в
Windows может становиться только более и более очевидна все
большему и большему кругу людей. Попытки исправить положение
законодательными мерами, например, применяя уголовные
наказания к разработчикам вирусов или запрещая публикацию
сведений о проблемах с безопасностью, вряд ли могут изменить
тенденцию. Так, наказание для разработчиков вирусов, хотя и
морально оправданно, но вряд ли может быть эффективным,
потому что в большинстве случаев создателя практически
невозможно идентифицировать, а идентифицировав — весьма
сложно доказать его вину по стандартам судопроизводства
демократических стран. В свою очередь, законодательный
запрет публикации сведений об ошибках, разговоры о котором
начались в 2001 г., не только абсолютно не оправдан
морально, но и крайне вреден с прагматической точки зрения,
хотя бы только потому, что сделает невозможным принятие
контрмер администраторами уязвимых систем. Оптимистический
сценарий развития событий может состоять в том, что
пользователи начнут массовым образом отказываться от
применения Windows, или Microsoft пересмотрит свой подход к
проектированию, разработке и тестированию программного
обеспечения (или в данном случае включающее). Так или иначе,
исправление положения потребует значительных вложений в
перестройку всей вычислительной инфраструктуры и не может
пройти безболезненно. Впрочем, исторический опыт дает автору
весьма мало оснований для оптимизма.
|