Анализ безопасности Windows XP Embedded

Анализ безопасности Windows XP Embedded

В этой статье речь пойдет об устройстве HP t5730 с предустановленной Windows XP Embedded.

Автор: Константин Иванищев, исследовательский центр Positive Research

В этой статье речь пойдет об устройстве HP t5730 с предустановленной Windows XP Embedded.

Основным отличием Windows XP Embedded от Windows XP являются:

  • Enhanced Write Filter (EWF)
  • Hibernate Once, Resume Many (HORM)

Оба этих средства предназначены для упрощения выполнения задач по администрированию устройств на базе Windows.

EWF делает выбранный дисковый том доступным только для чтения. Операции записи, направленные на этот дисковый том, перенаправляются в так называемое наложение, которое может находиться на другом диске или в памяти ПК. Операционная система рассматривает наложение EWF и его родительский том как один дисковый том. Тем не менее фактически на родительском томе не выполняются реальные изменения: изменениям подвергается только наложение EWF.

Такая технология в некоторых случаях дает преимущества. К примеру, у современных карт памяти CompactFlash (CF), которые могут устанавливаться в качестве накопителя, ограничен ресурс записи (приблизительно 100 000 операций), поэтому EWF применяется для использования карты памяти только для чтения. Для сохранения изменений в файловой системе используется наложение. Представим размещение наложения EWF в ОЗУ: если пользователь выключит компьютер, то наложение EWF и любые изменения, которые хранятся в ОЗУ, мгновенно теряются. При перезагрузке вы возвращаетесь назад в исходную конфигурацию, хранящуюся на карте памяти CF.

Если наложение расположено в энергонезависимой памяти, то когда возникает необходимость восстановить компьютер до исходной конфигурации, достаточно стереть наложение EWF.

HORM позволяет после однократного перевода компьютера в спящий режим многократно возобновлять его работу из точки перехода в спящий режим. Другими словами, технология позволяет фиксировать состояние запущенной операционной системы. Достаточно настроить компьютер, запустить все необходимые приложения, а затем перевести его в спящий режим: после этого компьютер загрузится почти мгновенно. При каждом включении компьютера вам потребуется только подождать несколько секунд, чтобы обнаружить все приложения работающими.

Сравнение Windows XP Embedded и Windows XP

Windows XP Embedded является многокомпонентным дистрибутивом. Microsoft предоставляет набор компонентов и средство для сборки дистрибутива (Windows Embedded Studio), которые позволяют собрать установочный образ для конкретного аппаратного обеспечения под определенные задачи. При этом можно использовать такой набор компонентов Windows XP Embedded, который позволит иметь такие же функциональные возможности, как и в полной версии Windows XP. К ним относятся возможность установки DirectX 9.0c, Microsoft .NET Framework, Windows Media Player 10 и многого другого. Грубо говоря, Windows XP Embedded — это Windows XP Professional, разобранная на функциональные составляющие, с возможностью их выбора. Например, можно исключить из дистрибутива MSI или заблокировать изменение практически любых настроек системы после установки. Существует также большой объем документации для разработчиков, описывающей способы создания пользовательских компонентов, например, пользовательской оболочки, заменяющей «Проводник», что позволяет создавать среду, соответствующую конкретному встроенному устройству.

Однако операционная система Windows XP Embedded включает в себя не все компоненты, входящие в состав полной версии Windows XP. К примеру, защита файлов Windows (WFP — Windows File Protection) не входит в состав Windows XP Embedded[1]. Не входят в ее состав и некоторые другие удобные компоненты, например «Знакомство с Windows XP», начальные экраны приветствий и мастеры, помогающие начинающему пользователю настраивать компьютер, или программа установки Windows. В Windows XP Embedded не используется активация Windows, образы Windows XP Embedded активируются с помощью ключа продукта (этап выполнения) при работе инструментов Windows Embedded Studio.

Наиболее примечательным является то, что Windows XP Embedded не использует механизм обновления Windows, хотя может использовать в созданной среде сервер служб обновления программного обеспечения Microsoft. Наконец, в Windows XP Embedded нет MSN Explorer, входящего в состав Windows XP Professional.

В перспективе обширный цикл разработки Windows XP Embedded продолжается: в настоящее время доступен Feature Pack 2007, в который добавлены новые компоненты, такие как загрузка с устройства USB, усовершенствование EWF, позволяющее направлять новые файлы на родительский том, не направляя наложение в целом, поддержка сжатия NTFS и многое другое. Эти усовершенствования увеличивают гибкость и количество вариантов операционной системы Windows XP Embedded, одновременно уравнивая ее по набору компонентов с операционной системой Windows XP Professional.

Вход в Windows XP Embedded с правами администратора

При стандартных настройках Windows XP Embedded автоматически производит вход пользователя User. Для настройки Windows XP Embedded необходимо выполнить вход с учетной записью пользователя Administrator.

Для того чтобы войти в Windows XP Embedded с правами администратора, необходимо зажать клавишу Shift и, не отпуская ее, выбрать LogOff в основном меню; затем, не отпуская клавиши Shift, дождаться появления формы для ввода имени пользователя и пароля.

Стандартным паролем к учетной записи Administator являетя пароль Administator. Войдя с этой учетной записью, можно вносить изменения в настройки Windows XP Embedded.

Настройка Windows XP Embedded для сканирования с помощью MaxPatrol

Для правильной проверки Windows XP Embedded с помощью MaxPatrol необходимо настроить следующие параметры.

  1. Добавить новую учетную запись пользователя и внести ее в группу «Администраторы». Проверку Windows XP Embedded необходимо проводить, авторизовавшись с этой учетной записью.
  2. Необходимо перевести службу Remote Registry в состояние «запускаться автоматически».
  3. Необходимо настроить межсетевой экран согласно инструкции по эксплуатации MaxPatrol.
  4. Необходимо настроить доступ к WMI согласно инструкции по эксплуатации MaxPatrol.

Далее необходимо сохранить изменения, внесенные в Windows XP Embedded. Для этого следует выполнить процедуру фиксации изменений в EWF с помощью команды ewfmgr c: -commit (для системного диска С: ) или с помощью значка службы (в правом нижнем углу экрана).

После перезагрузки Windows XP Embedded будет готов к сканированию MaxPatrol.

Сканирование Windows XP Embedded при помощи MaxPatrol

Сканирование преднастроенной Windows XP Embedded производится так же, как и сканирование обычной Windows XP. Необходимо указать IP-адрес компьютера, имя учетной записи и пароль пользователя, выбрать режим и запустить сканирование.

В настоящее время поддерживается сканирование Windows XP Embedded в режимах Audit и Compliance.

Оценка Windows XP Embedded в поставке от HP для t5730 в режиме Audit

На настоящий момент для Windows XP Embedded отслеживается более 230 бюллетеней безопасности Microsoft (http://technet.microsoft.com/en-us/security/bulletin/).

При проверке установленной Windows Embedded XP для HP Compaq t5730/t5735 Thin Client программой MaxPatrol было обнаружено 180 уязвимостей, требующих устранения.

Устранение уязвимостей, найденных в режиме Audit, производится с помощью установки обновлений для Windows XP Embedded. В Windows XP Embedded нет возможности обновлять ПО устройства напрямую через сеть с серверов Windows Update: для обновления Windows XP Embedded необходимо разворачивать специальные сервера обновлений Windows Server Update Services (WSUS). Кроме того, можно устанавливать обновления в ручном режиме и выполнять команду Commit изменений.

Для примера рассмотрим установку обновления в ручном режиме.

Открываем ссылку из раздела «Решение», выбираем обновление для Windows XP, скачиваем его и запускаем.

Устанавливаем обновление.

Завершаем установку без перезагрузки.

Выполняем команду Commit (Фиксация). Уязвимость «Переполнение кучи, связанное с протоколом удаленного администрирования» устранена.

Еще одним способом обновления ОС Windows XP Embedded является использование Device Update Agent (DUA). Это служба, с помощью которой отслеживается наличие обновлений на локальном диске или веб-сервере и, соответственно, запускается заранее подготовленный сценарий для установки этих изменений на устройство. Использование DUA позволяет устанавливать приложения, драйвера, работать с файловой системой и реестром в автоматическом режиме.

Выполнение проверки Windows XP Embedded в поставке от HP для t5730 в режиме Compliance

При проверке настроек системы Windows XP Embedded в поставке от HP для t5730 согласно стандарту CIS Benchmark v. 2.01 для Windows XP обнаруживается 69 несоответствий рекомендованным настройкам правил безопасности.

Для настройки Windows XP Embedded в соответствие с рекомендованными значениями можно использовать ручной режим или DUA. Пример настройки «Системные службы: Фоновая интеллектуальная служба передачи (BITS)»:

Далее останавливаем службу Background Intelligent Transfer Service и запрещаем автозапуск.

Не забудьте выполнить команду Commit для изменений, иначе после перезагрузки служба будет снова в активном состоянии.

Делаем повторное сканирование и видим, что контроль «Системные службы: Фоновая интеллектуальная служба передачи (BITS)» принял статус «Соответствует».

Итак, Windows XP Embedded — это встраиваемая компонентная операционная система на базе Windows XP Professional Edition и предназначена для применения в различных встраиваемых системах: системах промышленной автоматизации, банкоматах, медицинских приборах, кассовых терминалах, игровых автоматах, VoIP-компонентах и т. п. Эта операционная система часто используется на критически важных устройствах, чувствительных к отказу и взлому, и поэтому требует анализа уязвимостей и соответствующих работ по их устранению.


[1] http://www.oszone.net/4807/Windows_XP_Embedded

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!