При динамическом обновлении системы программа установки Windows XP загружает обновления устройств и приложения с веб-узла Microsoft в процессе установки системы на компьютер. Это удобно в корпоративной среде, где администраторы получают возможность загружать пакет динамического обновления с последними исправлениями приложений и подсистемы безопасности и устанавливать их всем пользователям с соответствующей ОС.

Автоматическое обновление (AutoUpdate) применяется для обновления через Интернет. Загрузка обновлений выполняется в фоновом режиме и автоматически возобновляется, если компьютер отключили до завершения загрузки. По завершении загрузки обновления на компьютер пользователю предлагается установить его.

В этом разделе вы узнаете о новых и расширенных возможностях обеспечения безопасности в Windows XP.

Windows XP обеспечивает защиту доступа в Интернет средствами нового брандмауэра подключения к Интернету (Internet Connection Firewall, ICF) – как для домашних пользователей, так и для небольших предприятий. Динамический фильтр пакетов ICF обеспечивает защиту компьютеров, непосредственно подключенных к Интернету, а также устройств, подключенных к Интернету через компьютер-шлюз с брандмауэром ICF. ICF поддерживает подключения через телефонную линию, локальную сеть, виртуальную частную сеть (VPN) и Point-to-Point Over the Ethernet (PTPOE).

ICF использует таблицу трафика Network Address Translation (NAT) и проверяет весь входящий трафик на соответствие своим правилам. Входные потоки данных пропускаются только при наличии соответствующей записи в таблице трафика NAT, созданной брандмауэром или другими средствами из внутренней защищенной сети. Иначе говоря, если источник сетевого сообщения находится за пределами защищенной сети, входящие данные отбрасываются.

ICF предотвращает сканирование портов компьютера и ресурсов извне. Если злоумышленник запустил программу сканирования открытого подключения или пытается подключиться к компьютеру, брандмауэр не позволит получить никакой информации о портах и службах в локальной сети.

Windows XP содержит встроенную подсистему безопасности для предотвращения вторжений. Работа подсистемы базируется на ограничении прав любого пытающегося получить доступ к компьютеру из сети до привилегий гостевой учетной записи. Microsoft полагает, что данная подсистема не позволит ни одному взломщику получить доступ к компьютеру и перебором паролей получить дополнительные привилегии.

Политика ограничения используемых приложений предоставляет администраторам механизм определения ПО, которое может работать в домене. Эта политика позволяет запрещать работу нежелательных приложений вроде вирусов и «троянских коней», а также ПО, вызывающего конфликты. Стандартное правило предусматривает два варианта: unrestricted («неограниченно») и disallowed («запрещено»). Установка стандартного правила в режим «unrestricted» позволяет администратору определять исключения, то есть программы, которые запускать запрещено. Более безопасный подход заключается в изначальном общем запрещении (disallowed) с последующим выбором только тех программ, которые запускать разрешено.

Выполнение вызывающих сомнение программ и сценариев в специально выделенной карантинной области – так называемой «песочнице» (sandbox) – позволяет воспользоваться на самом деле безвредными программами и предотвратить ущерб, который способны причинить вредоносные приложения или сценарии. Например, до проверки на безопасность сомнительная программа не сможет отправить электронную почту, получить доступ к файлу или выполнить любую другую операцию.