8 апреля 2014 года Microsoft прекратила поддержку Windows XP, и майский бюллетень безопасности уже не содержал обновлений для этой ОС (за одним исключением). Из бюллетеней можно извлечь много интересной информации, и сегодня мы об этом поговорим.
Это первая статья мини-серии о безопасности. Вообще, я планировал одну статью, но она бы получилась огромной с учетом базовых понятий, разъяснить которые я считаю необходимым. Они и составили основу этой статьи наряду с моим анализом бюллетеней безопасности за последний год.
[+] Сегодня в программе
Что такое срок поддержки
Фото: ISU Media Gallery
Выпуская программный продукт, любая приличная компания обозначает срок, на протяжении которого гарантирует его техническую поддержку. Основных направлений поддержки два:
- Помощь специалистов компании в решении проблем, которая может быть платной и/или бесплатной.
- Выпуск обновлений, в том числе устраняющих ошибки и уязвимости в системе безопасности.
Microsoft в общем случае поддерживает свои продукты (при условии установки последнего пакета исправлений) на протяжении 10 лет, которые складываются из двух пятилетних этапов основной и расширенной поддержки. Их отличия подробно описаны в разделе Политика по срокам поддержки продуктов Microsoft, но оба этапа включают в себя выпуск исправлений безопасности.
Однако это правило не только сопряжено с исключениями, но и подвергается изменениям в последнее время. Я свел в таблицу сроки расширенной поддержки клиентских ОС Microsoft с последним пакетом исправлений, начиная с XP.
| ОС | Начало поддержки | Окончание поддержки | Мой комментарий |
|---|---|---|---|
| Windows XP | 31-Dec-2001 | 8-Apr-2014 | Поддержка XP была продлена в виде исключения по причине большого распространения этой ОС и пожеланий клиентов. |
| Windows Vista | 25-Jan-2007 | 11-Apr-2017 | Как ни странно, в блог еще иногда приходят владельцы этой ОС. |
| Windows 7 | 22-Oct-2009 | 14-Jan-2020 | Версией Windows без Metro можно спокойно пользоваться еще без малого 6 лет :) |
| Windows 8 | 30-Oct-2012 | 10-Jan-2023 | Для сохранения поддержки требуется перейти на Windows 8.1 в течение двух лет после ее выхода. Интересно, что 8.1 является не пакетом исправлений, а другой операционной системой (обновление с 8 до 8.1 – это просто установка поверх). |
| Windows 10 | 13-Oct-2015 | 14-Oct-2025 | Для поддержки требуется наличие самого свежего обновления, которые являются кумулятивными, и для установки каждого требуется наличие предыдущего. Обновления могут содержать новые возможности и исправления системы безопасности и стабильности/производительности. Работа всех новых функций не гарантируется, т.к. это зависит от возможностей устройства. Обновления могут быть неприменимы к устройству, если оно не поддерживает новые функции на аппаратном уровне, отсутствует необходимый драйвер или изготовитель ПК больше не поддерживает устройство. |
Как ни странно, меня уже пару раз в почте спросили, означает ли окончание поддержки то, что можно использовать ОС [в организации] без надлежащей лицензии, не опасаясь при этом уголовного наказания. Ответ — нет, по закону все равно нужна лицензия.
Любопытно (хотя и логично), что прекратив поддержку XP, Microsoft продолжит выпуск сигнатур для MSE вплоть до 14 июля 2015 года. Однако к XP больше не будут выходить исправления безопасности, о чем и пойдет речь дальше.
Что такое бюллетень безопасности
Во второй вторник каждого месяца Microsoft выпускает исправления в системе безопасности своих программных продуктов, сопровождая их бюллетенями безопасности. Это технические документы, содержащие разнообразную информацию об изъянах в защитных механизмах ОС и программ.
Сведения бюллетеней покрывают подверженные продукты, потенциальный вред, влияющие на эксплуатацию факторы, а иногда и обходные пути, позволяющие нивелировать влияние уязвимости без установки исправления.
Один бюллетень может содержать информацию о нескольких уязвимостях (CVE), которые закрывает описываемое исправление системы безопасности.
Раздел часто задаваемых вопросов содержит ответы, написанные вполне понятным языком, а подраздел об уязвимости (CVE-YYYY-NNN) – смягчающие факторы.
Например, бюллетень MS014-27 описывает закрытую уязвимость в оболочке всех ОС Windows, позволяющую повысить уровень прав. Однако при внимательном прочтении выясняется, что для этого нужно знать существующие учетные данные и обладать возможностью локального входа в систему. По этой причине бюллетень имеет уровень серьезности «Существенный», а не «Критический».
Что такое уровень серьезности (severity rating)
Каждый бюллетень получает уровень серьезности, обозначающий максимальную степень вреда, который нанесет эксплуатация уязвимости.
Уровень серьезности подразумевает самый худший расклад: вредоносный код успешно создан, и есть идеальные условия для его выполнения.
Эта метрика дает организациям возможность оценить потенциальный ущерб от работы с уязвимостью и спланировать тестирование и развертывание обновления. Надо понимать, что далеко не все корпоративные клиенты устанавливают обновления сразу по факту их выхода. Некоторые компании предварительно тестируют обновления на предмет того, не нарушает ли их установка работу программ, критичных для бизнеса.
Уровней серьезности четыре, и они подробно описаны на TechNet, но почему-то страница не переведена на русский язык. Поэтому я предлагаю вам свой вольный перевод.
| Уровень | Определение |
|---|---|
| Critical Критический |
Уязвимость, эксплуатация которой позволяет выполнение кода без взаимодействия с пользователем. Это может быть самостоятельно распространяющееся вредоносное ПО, а также стандартные сценарии, в которых выполнение кода происходит без предупреждений и диалоговых окон (например, посещение веб-страницы или открытие письма). Microsoft рекомендует применять такие исправления немедленно. |
| Important Существенный1 |
Уязвимость, эксплуатация которой может скомпрометировать конфиденциальность, целостность или доступность пользовательских данных, либо целостность или доступность обрабатываемых ресурсов. Это могут быть сценарии, в которых компрометация происходит с предупреждениями или диалоговыми окнами вне зависимости от их происхождения, качества и «юзабилити». В эту категорию также входят последовательности действий пользователя, которые не вызывают предупреждений или окон. Microsoft рекомендует применять такие обновления при первой возможности. |
| Moderate Умеренный |
Воздействие уязвимости существенно смягчается некоторыми факторами, например, требованиями к аутентификации или возникновением только в нестандартных конфигурациях. Microsoft рекомендует рассмотреть возможность установки таких обновлений. |
| Low Низкий |
Воздействие уязвимости практически нивелируются характеристиками затронутого компонента. Microsoft рекомендует оценить целесообразность установки таких обновлений. |
1 Это официальная русская терминология на данный момент, хотя еще в начале 2014 года использовалось слово «Важный».
В тексте бюллетеня указывается уровень серьезности для каждого подверженного продукта. Во многих случаях он одинаковый, но иногда бюллетень не применим к более новым или наоборот более старым продуктам ввиду конструктивных различий.
На диаграмме ниже расклад по уровню серьезности бюллетеней, затрагивающих клиентские ОС Microsoft за последние 12 месяцев. Здесь достаточно ровная картина – Windows 7 и Windows 8 / 8.1 отметились в 46 бюллетенях, а Windows XP – в 45 (на диаграмме по ошибке не учтено одно, поправлю).
Уровень серьезности относится к бюллетеню в целом и программным продуктам, подверженным уязвимости, однако он не дает информации о вероятности, с которой каждая уязвимость бюллетеня может быть проэксплуатирована. Для этого есть другая метрика.
Что такое индекс использования (exploitability index, XI)
Здесь официальная русская терминология не слишком информативна. Я бы назвал это «вероятность эксплуатации», хотя такой термин не выдержит натиска математиков :)
Индекс использования отражает вероятность появления эксплойта в течение 30 дней после выпуска бюллетеня безопасности.
Другими словами, суть индекса в том, что не все уязвимости одинаково полезны для злоумышленников. Изъян в безопасности может иметь критический уровень серьезности, но не всегда просто создать код и условия для его эксплуатации.
Microsoft публикует XI в обзорах бюллетеней каждого месяца. Вот обзор за май 2014 года для примера, а ниже – его фрагмент.
Я выделил три момента:
- XI указывается отдельно для новейшей и предыдущих версий ПО.
- Об известных случаях эксплуатации сообщается. Кстати, исправление для IE из MS14-021 вышло вне плана и даже для IE6, несмотря на закончившуюся к тому моменту поддержку XP. Причина как раз в том, что уязвимость была раскрыта публично, что привело к созданию и применению эксплойта.
- XI обозначается для каждой уязвимости, которых в бюллетене может быть несколько. При этом вероятность эксплуатации разных уязвимостей одного бюллетеня может отличаться.
Когда программный продукт подвержен уязвимости, ему назначают одну из трех степеней рейтинга. Актуальное описание рейтинга опубликовано на TechNet (опять же, только на английском языке). Я не буду переводить его дословно на русский, а ограничусь только сутью.
| Индекс | Объяснение |
|---|---|
| 1 — Возможно существование кода эксплойта | Созданный вредоносный код позволяет получить стабильные результаты эксплуатации уязвимости. Это делает уязвимость привлекательной для злоумышленников и увеличивает вероятность появления эксплойта. Такой рейтинг получают и уязвимости с уже известными эксплойтами. |
| 2 — Код эксплойта создать сложно | Можно создать код, но это сопряжено с препятствиями, требуется высокий уровень подготовки и/или невозможно получить стабильные результаты эксплуатации уязвимости. |
| 3 — Существование кода эксплойта маловероятно | Можно создать код, который вызовет ненормальное поведение, но не эксплуатацию уязвимости в полном объеме. Инвестиции злоумышленников не соответствуют выгоде, поэтому вероятность появления эксплойта самая низкая. |
Уязвимости: новейшие ОС против предыдущих ОС
Фото: FIE Media Gallery
Сведения из бюллетеней позволяют посмотреть через призму цифр на стандартный тезис «новые ОС более безопасны» в контексте подверженности уязвимостям и вероятности их быстрой эксплуатации по оценке Microsoft. Действительно, в новых системах усиливается защита и конструктивно устраняются изъяны безопасности старых систем. Но с другой стороны это может привнести уязвимости в новых компонентах, и такие случаи в бюллетенях зафиксированы.
Я отобрал из бюллетеней за последние 12 месяцев закрытые уязвимости, которые касались как минимум одной из трех клиентских ОС Windows — 8/8.1, 7 и XP.
Смысл такой подборки в том, что ввиду использования унаследованного кода, одна уязвимость нередко затрагивает одновременно несколько поколений систем. Другими словами, если Windows 8.1 подвержена проблеме, изъян в безопасности вполне может тянуться еще со времен Windows XP, если не дольше.
Анализ показал, что 46% уязвимостей не затрагивают новейшие клиентские ОС (включая встроенные компоненты), в то время как предыдущие ОС избавлены от напасти лишь в 6% случаев.
Среди изъянов в безопасности, которым подвержены системы, преобладают уязвимости с наибольшей вероятностью эксплуатации в ближайшие 30 дней (XI = 1). Их доля составляет 62% у новейших ОС и 77% у предыдущих систем.
Хочу отметить, что 139 уязвимостей из 221 (63%) выпали на долю Internet Explorer. Но даже если исключить его из уравнения, картина будет очень похожей. Оставшиеся уязвимости не затрагивают новейшие ОС в 43% случаев против лишь 4% у предыдущих ОС.
На основе этих данных я делаю вывод, что в течение последних 12 месяцев в новейших клиентских ОС было закрыто значительно меньше уязвимостей, чем в ранее выпущенных системах.
Резюме
Поскольку эта статья первая в серии, я подведу промежуточный итог:
- Окончание срока поддержки означает, что Microsoft перестает исправлять изъяны в системе безопасности ОС и ПО (исключение делается лишь для корпоративных клиентов, оплативших недешевую дополнительную поддержку).
- Бюллетени безопасности содержат сведения о степени максимального вреда, который может нанести эксплуатация уязвимости, и вероятности появления эксплойта.
- Microsoft ежемесячно выпускает исправления безопасности, и у операционных систем примерно половина из них имеют критический уровень серьезности, т.е. эксплуатация происходит без ведома пользователя.
- В новейших операционных системах приходится закрывать намного меньше уязвимостей чем в предыдущих.
Дискуссия и опрос
А вы заглядываете в бюллетени безопасности? Если да, расскажите в комментариях, какие сведения вас в них интересуют.
В следующий раз мы поговорим о том, в чем заключается риск работы в Windows XP по окончании поддержки и как его снизить. Одним из тезисов статьи будет важность своевременной установки обновлений. Поэтому сейчас я хочу выяснить, как вы это делаете.
В центр обновления Windows заложено три способа установки, и я предпочитаю полностью автоматическое обновление системы. А вы? Напишите в комментариях вашу ОС, способ установки обновлений и причину его выбора. Опроса в этот раз два, ибо я хочу проверить свое предположение, что владельцы Windows 7 менее склонны к автоматическому методу по сравнению с пользователями Windows 8.1. WU означает Windows Update.
Результаты голосования утеряны в связи с прекращением работы сервиса опросов
Смотрю на критические фиксы с целью посмотреть, из-за чего на этот раз мог произойти БП.
Дома 8.1, на работе 7, в обоих случаях стоит вариант «ищутся автоматически, но я принимаю решение о загрузке и установке», так как в полностью автоматическом варианте происходит перезагрузка в самый неподходящий момент, как специально. Автоматически не качаю, чтобы не занимать канал, который оказывается нужен «именно сейчас».
Такие дела :)
Макс, 8.1 не перезагружает в самый неподходящий момент. ОС предупреждает на экране блокировки и входа в систему за несколько дней до требуемой перезагрузки. В день X предупреждает за 15 и вроде еще за 5 минут. Кроме того, есть политика, препятствующая перезагрузке, когда выполнен вход в систему (еще в 7 была).
Хочу обратить внимание на довольно забавный факт. В настройках установки обновлений Windows 8.1 стоит «Install Updates Automatically». Т.е. происходит загрузка, частичная или полная установка, и, в случае надобности, перезагрузка.
Но иногда при работе системы наблюдаются странные подтормаживания или глюки. Сейчас, при появлении оных, сразу же проверяю наличие желтой фразы на экране приветствия (в правом нижнем углу) а-ля «необходимо перезагрузить систему для завершения установки обновлений». 100% совпадение. Наличие причинно-следственных связей, казалось бы, налицо. Но я все-таки надеялся, что это глюки конкретно моей машины. После перезагрузки глюки исчезали.
Недавно друг обратился ко мне с проблемой, мол, не перетаскиваются файлы и папки ни на раб столе, ни в проводнике. Проверил, действительно, не перетаскиваются. Сообщение о перезагрузке желтым цветом в налачии. Перезагрузка. Все перетаскивается. Уже не знаю, что и думать…
Данила, живительный ребут никто не отменял и без всяких обновлений :)
А я вот недавно столкнулся с очень неприятной особенностью серверной ОС Windows 2012. Если в 2008R2 сообщение с предложением перезагрузиться вылезало в правом нижнем углу и не сильно мешало, то 2012-й прямо тыкает в лицо сообщением о необходимости перезагрузки (прям почти как UAC). Причем кнопкой по умолчанию является как раз «Перезагрузка».
И вот вылезло это окно как раз в тот момент, когда я, добавляя роль серверу, забивал нужные параметры с клавиатуры и опускал палец на Enter. Благо, сервер был не критически важным и всё обошлось без сбоев, но могло быть всё куда печальнее.
Николай, ну, вы ж понимаете, сколько клиентов может зависеть от безопасности одной серверной ОС. Этот блог читают люди, которые вам при случае еще доставят на тему необходимости GUI в серверной ОС :)
Вадим, отличная подборка иллюстраций!
Обновления загружаются автоматически, но устанавливаются по моей команде, потому как автоматическая перезагрузка абсолютно недопустима. Поэтому и смотрю в бюллетени, чтобы оценить риск от отложенной установки.
Максим, опять же, автоматической перезагрузки сразу после установки не происходит. Но в 7 появляется окно с предложением перезагрузить или отложить.
P.S. Я рад, что вам нравятся картинки :)
Вадим, спасибо за чёткое и внятное разъяснение, возьму эту статью в закладки и буду показывать людям для ликбез ;)
Виктор, да, как-то так и задумано. В т.ч. для себя и других обсуждений в блоге — про поддержку я уже неоднократно давал ссылки на официальный сайт.
Рад видеть микросерию по безопасности.
Выбрал вариант «WU: ищутся автоматически, но я принимаю решение о загрузке и установке» (Windows 7), больше по старой привычке (был медленный интернет). Уже хотел было поставить в автомат, но обновление KB2952664 вернуло бдительность. К тому же, в исключениях висит обновление драйвера к мыши, они его назвали «PXI — Other Hardware …», разок ставил — было плохо.
Раз в месяц нажать кнопку «установить обновления меня не напрягает», зато интересно бывает почитать, что же пропатчили.
Илья, в принципе, если апгрейд не планируется, то KB2952664 не нужнo. Но всегда надо держать защиту системы включенной, откат помогает в таких случаях. Что касается драйверов [мыши], они никогда не ставятся автоматом, емнип. Хотя мышь Microsoft будет изначально качать драйвер с Windows Update, да.
Не помню, как было в «семёрке» (это было давно:)), а вот в Windows 8/8.1 драйвера устройств скачиваются и устанавливаются автоматически, если во время установки Windows не отключить эту опцию вручную…
А с настройками «по-умолчанию» ОС лезет в сеть с целью поиска, загрузки и установки (без спроса) новых версий драйверов сразу после завершения установки ОС и при каждом последующем подключении нового устройства. При этом на панели задач появляется привычная иконка свёрнутого окна с ходом процесса. Вот как-то так…:))) Или я какой-то особенный?:)
Евгений, нет, все верно. Я имел в виду драйвер мыши, о котором шла речь изначально — мне кажется, такие драйверы автоматически не ставятся. У меня могут долго висеть в необязательных обновлениях драйверы Bluetooth и сетевого адаптера. А видео — да, будет установлено автоматически после установки системы, и это правильно, т.к. из коробки драйвер явно старее того, что предлагает WU.
Думаю, надо подразделять загрузку драйверов сразу после установки системы / при подключении устройства и впоследствии. Поведение может отличаться, но я не копал этот вопрос.
Да, мышь была в необязательных. Кстати, недавно купил другую совершенно, думал, теперь этот горе-драйвер пропадёт из предлагаемых, а у новой мышки VID/PID те же самые, SafelyRemove называл её по-старому (я даже оторопел немного, думаю, может шнуры перепутал?), и драйвер всё так же предлагается. Совсем китайцы обленились :)
Да и то же обновление KB2952664 у меня предлагается в Важных и отмечено галочкой сразу, а у знакомых на пиратке висит в Необязательных, курсивом и не отмечено сразу.
У меня с момента покупки предустановленной операционной системы Windows 7 Start стоит на автоматическом обновлении, но решение принимаю я сам. Устанавливаю я все обновления, так как считает сама система. Перезагрузку я делаю или при появлении надписи об этой операции после загрузки обновлений или после обновления определений у Защитника Windows ( сам делаю в ручном режиме). Читаю бюллетени постоянно, так как это знать полезно. У меня по вторникам и пятницам обновляются определения для Защитника, а по средам появляются или обновления для самой операционки ( браузер IE,безопасность,NET Framework) или программа для проверки на вирусы всей системы ( раз в месяц).Статьями я очень доволен, так как много чего узнаёшь не отходя от ноутбука.Всего хорошего !!!
Владимир, если вы устанавливаете все обновления, то в чем смысл самостоятельного принятия решения?
Повод почитать бюллетени безопасности. :-) Хотя ссылки на них можно найти и в логе установленных обновлений.
Александр, там ссылки на статьи базы знаний, а уже оттуда можно попасть в бюллетени.
К сожалению описания в консоли Windows Update у 99% апдейтов неинформативное. В этом вижу изъян этих описаний — их можно было бы и вовсе исключить, а просто давать ссылку на сайт с описаниями.
А так, конечно, ставлю обновки, хотя необходимость ежемесячной перезагрузки немного напрягает (в сессии у меня всегда что-то нужное из документов и приложений мне открыто и вспоминать, что было открыто и на каком — как-то не особенно интересно).
Алекс, в принципе, информации достаточно, чтобы понять суть обновления — безопасность или стабильность/производительность/совместимость. Дальше уже в KB надо идти.
Вы, видимо, ПК не перезагружаете без надобности, как и я. Да, я тоже тяну до последних 15 минут нередко.
Согласен, меня тоже расстраивает, что описание неинформативное.
Хорошая статья. Все структурно расписано, представлено в графиках и картинках.
Я бюллетени прочитываю перед сном или за утренним кофе. Какие сведения меня в этих SB интересуют? Дак само название документа за себя говорит — безопасность ОС. Обновления ищутся автоматически, но устанавливаются выборочно — это на работе (используем в организации свой «самописный софт».Были случаи, когда наш софт после обновлений некорректно работал, поэтому сперва тест, а затем ввод в эксплуатацию), полная автоматизация обновлений — это дома.
Заинтриговали, Вадим, что данная статья только начало ликбеза. С нетерпением жду следующих, хотя глядя на Ваши достижения в Endomondo, думаю, что не так скоро. Я ошибаюсь?
Андрей, ваш опыт совпадает с тем, о чем я пишу — предварительное тестирование в организациях необходимо.
Я постараюсь в течение недели закончить вторую часть :)
7 про. Автоматически. Но иногда заглядываю в Центр обновления, поскольку изредка появляются «важные» обновления, которые сами не устанавливаются, не загружаются и не дают о себе знать уведомлением в баре. Наверно это связано с редакцией ОС. Например так недавно было с KB2952664
Раньше (когда пользовался XP, и некоторое время Windows 7) обновления ставились в режиме «ищутся автоматически, но я принимаю решение о загрузке и установке» (либо «загружаются автоматически, но я принимаю решение об установке»), потому в автоматическом режиме коварный XP (и 7 иногда вроде тоже), если найдёт хотя бы одно обновление, требующее перезагрузки, откладывает установку всех обновлений на этап перезагрузки. И в итоге наблюдаешь гадское сообщение: «Не выключайте компьютер и не выдёргивайте шнур. Идёт обновление 4 из 36 . . .». И сиди жди, #$@№&. С запуском обновления вручную такой подлости не бывает.
Кроме того, на пиратских виндах обновление вручную просто необходимо, ведь важно не допустить на компьютер очередное обновление проверки подлинности. К счастью, у меня лицензия.
Сейчас стоит Windows 8.1 с Обновлением (обновлённый с Windows 8), обновления устанавливаются в автоматическом режиме. Иногда выскакивает окошко, типа «ваш компьютер хочет перезагрузиться после обновления», но такие перезагрузки (а) контролируемы, (б) не тратят много времени. Чаще наблюдаю в трее значок, мол, обновления установились, почитайте о них в журнале обновлений.
У меня с этим антивирусом на одном из подопечных ПК случился казус- ОС просто отказалась работать после какого- то обновления. Загружается и виснет. Отключил вообще, благо за пару лет работы он не нашёл ровным счётом ничего. Погуглил- я не один такой. Как специально поломали антивирус на ХР.
EMET последней поддерживаемой версии. К сожалению, МС сломало последнюю версию на ХР, хотя на 99% схожем 2003 сервере он прекрасно работает.
ХР с EMET защищена сильнее, чем последняя ОС от МС без него.
Где-нибудь есть подробное описание проблемы?
Точный код ошибки не найду уже, но походу уже исправили:
http://www.thevista.ru/page16874-microsoft_ispravila_problemu_s_zagruzkoy_windows_xp
Впрочем, включать его обратно на том ПК нет никакого желания- всё равно ничего полезного он не сделал.
Ой, не так понял. Я про то, что последний EMET не работает на ХР (официально заявляется), хотя на 2003 сервере прекрасно пашет. Ошибки, выдаваемые им (об отсутствии функции в dll), какие- то странные, похоже на случайно генерируемые (каждый раз разные о_0 ). Таких ошибок просто не может быть- библиотеки этих ОС одинаковые.
В общем всё выглядит так, как будто специально сломали.
Мда, описание не перегружено подробностями. Разрядность XP? Версия EMET? 5.0 пока в статусе Tech Preview.
64. Но я уверен, что и на 32 так же будет.
Последняя, пятая.
Как я уже говорил, она официально не поддерживает ХП, так что жаловаться МС бесполезно.
Ну, тогда и нет смысла говорить, что что-то сломали. 4.1 лучше чем ничего…
Так специально же, очевидно. Официально не поддерживает, но неофициально должна работать железно, так как ХР х64 на 99,9% совпадает по файлам с 2003 сервером, который поддерживается.
Один ноут на 8.1, один на 7 и десктоп на 7 — везде все автоматически устанавливается, ибо не вижу смысла подтверждать каждый раз вручную, а на случай неполадок есть восстановление системы.
Максим, я теми же принципами руководствуюсь.
Спасибо! Хорошо, понятно.
Пять лет назад, когда я впервые включил сам компьютер, мне говорили,что обновы вредны. Но под рукой у меня был интернет, нде многое узнал и узнаю. Конечно вредны для левых осей.
Так что предпочитаю автоматически, потому что свой, домашний. Но в последнее время в связи с использованием, кастрированного (мобильного, не в обиду, в моём месте туггой) интернета, приходится выбирать, когда и что делать.
У меня на Windows 7 Home Basik ищутся автоматически, но я принимаю решение о загрузке и установке. Вопрос именно в том, что там за обновления исходят от компании? Например обновления для IE (которым я не пользуюсь) или обновления для удаления вредоносного ПО (зачем мне лишний хлам в системе, ежели я использую продукт компании Symantec)?
В каждом конкретном случае просматриваю и читаю о каждом из обновлении.
Обновления для IE (ставить обязательно: на его движке работает система), драйверы для оборудования (не всего).
ОС не работает на движке IE, но браузер глубоко интегрирован в систему, а стороннее ПО может использовать его компоненты. Поэтому обновлять IE нужно вне зависимости от того, используется ли он в качестве браузера.
Прочитал пост на хабре, о том что одним твиком реестра можно получать обновления до апреля 2019 года.
Разумеется Майкрософт не рекомендует их ставить, ибо на совместимость они не тестировались. Интересно, насколько оправдана установка этих обновлении?
Об этом будет в следующий раз.
Интересно кто нибудь пользуется интернет иксплоер? Я видел им пользуются от компьюторной безграмотности и когда выростает уровень познания быстренько с него уходят.
И когда удаляеш ИЕ то каждая папка открывается в новом окне и этого не избежать так как система в ИЕ содержит ДЛЛ который можно вернуть создав папку ИЕ и вложив его туда.
Ну я им пользуюсь :-), других браузеров на машине не установлено. То, что Эксплорер — не труЪ, всего лишь мем. Когда вырастает уровень познания, т.е. когда человек узнаёт, что браузер и интернет — разные вещи, он узнаёт, что IE не труЪ и надо ставить труЪ. На самом деле современный IE ничем не хуже других браузеров, разве что сторонних дополнений к нему меньше.
Значит получается, что IE лучше других? А то, что он с низкой скоростью Интернет-соединения, грузит страницу сайта (например эту страницу) до 30 минут, это нормально? То, что при установке «некоторых» приложений, именно в него встраиваются разные модули, это нормально? И то, что он встроен в систему и удалить его у нас в России, без (извините за выражение) геморроя, не возможно, это нормально?
Помимо Google Chrome (шпион №1) IE начинает стучать (в первую очередь) на «владельца» компа/ноута в корпорацию мелкософт…
Да на кой хрен он нужен такой урод-стукачёк?
Вы лучше подсказали бы, каким образом безболезненно для системы, можно избавиться от него!
В драно-голубой Европе, это возможно, а мы в РФ (как отсталая страна) лишены этой возможности, изначально.
Вот спасибо, Вадим, обрадовали…
Ну так придётся ставить обновления для него, увы…
Не тестировал его на низкой скорости, поэтому ничего сказать не могу.
https://www.outsidethebox.ms/12882/
А зачем удалять системный компонент? IE не только браузер, но и движок, который используется как другими компонентами Windows, так и сторонними программами.
Из компонентов Windows, использующих движок IE, могу назвать справку в формате .chm, некоторые диалоговые окна, например окно восстановления системы в XP, так называемые HTML-приложения (.hta), существующие со времён IE 4.5 (иногда на них делают Autorun компакт-дисков), современные (metro) приложения и т.д. В Windows 98/ME и 2000/XP можно было создавать HTML-шаблоны для папок, но из соображений безопасности в XP её отключили.
На счёт сторонних программ не интересовался, но поместить на форму компонент IE можно практически в любой IDE, хоть в Borland (как там его сегодня зовут), хоть в Visual Studio. Возможно, кто-то этим пользуется.
Так что удаление браузера приведёт только к удалению оболочки вокруг движка, сам движок никуда не денется. Удаление браузера — операция немногим глубже, чем удаление его ярлыка. И даже после удаления будут приходить обновления.
Можете подтвердить ссылкой?
Встречался с другой аналитикой: Chrome и Firefox стучат практически одинаково, Opera стучит при каждом просмотре сайта (сверяет адрес сайта с базой данных фишинга на сервере), а IE (без сторонних дополнений, типа Яндекс.Баров) никуда не стучит. http://jeder.ru/?p=198
Удалить ярлык. :-)
Зато Apple, как мне известно, поступает намного честнее, частично открывая коды Safari в настольной версии OS X, и не впаивает намертво этот браузер в систему, таким образом давая возможность конкурировать ему с продуктами независимых разработчиков на равных — отсюда и отсутствие пристального внимания со стороны антимонопольщиков.
Дима, если есть годный конкурирующий продукт (aka Chrome), то он прекрасно пресупеет и на Windows. Открытие исходного кода (даже если таковое имеет место быть с Safari — ссылки где?) здесь не имеет никакого значения.
All,
Вбросы про IE типа «для скачки других браузеров» и «шпион» довольно унылые. Если вы хотите обсуждать IE и другие браузеры, делайте это в контексте безопасности (тема статьи), подкрепляя свои тезисы внятной аргументацией. Например, Сравнительный тест браузеров: блокирование загрузки вредоносных программ.
Спасибо.
Здравствуйте Вадим! Очень хорошо, что вы подняли тему безопасности. Было бы Вам благодарен, если бы Вы ее продолжили — аспектов очень много: это и брандмауэр в режиме повыш. безопасности, и SRP, и EMET и еще многое другое, что есть «под капотом». И именно в приложении к Win 8.1 так как большинство статей на эти тематики уже устарели и не учитывают новых реалий. Стоит ли ставить на планшет SRP и настраивать ли брандмауэр для исход подключений? Таких вот вопросов может быть очень много и интересно услышать грамотное и компетентное мнение на этот счет. С уважением, Александр.
Александр, я не планирую материалы о wf.msc и SRP, поэтому отвечу тут. Степень защиты каждый выбирает в зависимости от своих навыков и параноидальности. Я следую рекомендациям Microsoft (они в центре поддержки панели управления). Но при этом я не считаю необходимым идти дальше них — хотя бы потому, что при таком подходе я могу на себе оценить его адекватность и соответственно давать рекомендации в блоге или на форуме. Поэтому я не настраиваю брандмауэр и SRP на планшете.
Между тем, промежуточные результаты опросов подтвердили мое предположение, что владельцы Windows 7 менее склонны к автоматическому методу обновления по сравнению с пользователями Windows 8.1. Если взять только тех, кто пользуется WU, 49% владельцев Windows 8.1 обновляются на автомате против 35% владельцев Windows 7.
В общем, это означает, что пользователи 8.1 лучше защищены от уязвимостей не только по причине новейшей системы, но и ввиду более быстрой установки обновлений относительно времени их выхода. О важности этого аспекта в след. статье :)
Спасибо, понятно. А ЕМЕТ Вы используете? Жаль что по безопасности статей больше не будет :-(
Странный вывод из моих слов.
EMET нет.
Удалить можно я удалял сначала выключить его в msconfig а затем после перезагрузки любым Unlocker удалить но будут окна открываться каждая в новом окне поэтому нужно оставить папку ИЕ в прг.файлах и в ней ieproxy.dll помоему этот длл а остальное удалять .Не начто другое он не влияет.
Пожалуйста, перестаньте писать всякую ересь в моем блоге, тем более по второму кругу.
Я проголосовал в обоих опросах:
по Win7 это «WU: ищутся автоматически, но я принимаю решение о загрузке и установке»
по Win8.x это «WU: устанавливаются автоматически»
И касательно Win8.1 мой выбор изначально был тоже «WU: ищутся автоматически, но я принимаю решение о загрузке и установке», однако от него пришлось отказаться, так как Win8.1 в этом режиме, по неизвестной причине, больше не показывает уведомления в трее о том, что доступны новые обновления ( http://windowstips.ru/notes/2472 ).
Ставить же сторонний софт для восполнения этого пробела, который к тому же однозначно требует прав администратора для своей работы (я работаю под ограниченной учётной записью) я счёл для себя ещё более неприемлемым.
Александр, а что мешает вам использовать тот же способ на 7? :)
Просто я привык проверять, что мне вообще предлагают обновить, плюс, как уже выше сказали, иногда бывают обновления, которые по какой-то причине не отмечаются галочкой автоматически, соответственно о них, бывает, хочется узнать подробнее.
Всё это, конечно, не смертельно, но в таком случае я вообще не понимаю, зачем в Windows 8.1 эти два промежуточных пункта между полной автоматикой и полным игнором обновлений, ведь без нормальных уведомлений польза от них сильно уменьшается.
Александр, уведомления выводятся на экранах блокировки и входа в систему. Вы можете считать их ненормальными, но они есть.
Я знаю, что такие уведомления есть (по ссылке, что я привёл выше, это как раз упоминается), но таки да, подобные уведомления и вправду никуда, по-моему мнению, не годятся.
Стоит Windows 7, обновления проверяются автоматически, но решение об установке принимаю самостоятельно.
Хотел бы узнать, система сама выбирает, что следует ставить из списка доступных обновлений (когда открываю список доступных обновлений, там стоят галочки, но стоят они не у всего списка)? Следует ли в таком случае положиться на систему или самому выделить и поставить всё оставшееся без внимания системы?
Григорий, не видя списка, я не могу прокомментировать. Я рекомендую полностью автоматическую установку, которая заодно избавляет от подобных вопросов.
Указал другой способ установки.
«Не проверять наличие обновлений (не рекомендуется)». Проверяю и устанавливаю вручную через панель управления где-то раз в месяц-два.
Роман, в чем тайный смысл такого подхода?
Эм, распишу тогда. Совокупноть причин. Сам контролирую что и когда устанавливать. Когда я работаю и занят, не хочу, чтобы система занималась ненужными, в данный момент, вещами. Тем более могут быть побочные эффекты, что-то по-другому начнёт работать, или какие-то глюки (не раз уже за этот год слышал, как свежие обновления откатывались). Выбор вручную, так как многие обновления мне не нужны, вроде обновлений для защитника, определений вредоносных программ, флеша, силверлайта, скайдрайва, камеры, (с драйверами отдельный разговор), офисных аутлуков, паблишеров и прочих, хотя у меня установлен только ворд, эксель и пауэрпоинт (кстати, зачем он тогда предлагает на них обновления?). Также после обновлений надо вернуть всё на место: поменять в реестре параметры запуска офисных программ, чтобы открывались без сплэшскрина (обновления их зачем-то восстанавливают по-умолчанию), удалить MSOSYNC.EXE (что-то там центр синхронизации), не знаю как его отключить менее радикально, убрать autorun’сом из автозагрузки кучу дллок, связанных с офисом, ие, скайдрайвом.
Короче суть в том, чтобы выделить 5-10-15 минут раз в месяц-два и сделать всё по уму, чем пустить на самотёк на усмотрение системы. Это относится не только к обновлениям, а вообще к работе за компьютером. Ну и, естественно, я не считаю такой подход универсальным, кто как хочет, тот так и поступает.
Роман, т.е. вы считаете, что лучше затянуть на месяц установку обновлений безопасности, чем своевременно обновиться в автоматическом режиме? По-моему, «пустить на самотек» больше подходит к вашему подходу — не пропустите след. статью :)
Обновления ставятся всегда для всего Office на случай, если будут добавлены компоненты.
В теории Вы конечно правы, я, только за, что агитируете за автоматическое обновление. Но на практике, мне кажется, академическое следование немного преувеличено. Если бы на моём компьютере, к примеру, был какой-нибудь важный сервер, я, конечно, действовал бы по-другому. А так он в «захолустье», за двойным натом, фаервол по умолчанию всё блокирует, проактивная защита тут как тут. В общем, если я буду следовать нормам, то понижу вероятность проникновения в ближайший месяц, условно с 10^-5 до 10^-6%, вроде и круто, но что то, что то очень мало.
Если кто-то будет у меня спрашивать, как поступать, я всё же буду рекомендовать как в Вашем блоге, очень хорош, несмотря на то, что я во многом действую по-другому). И ещё, почему-то странно, не именно здесь, а в общем, что много внимания уделяется безопасности, но несоизмеримо мало конфиденциальности, что, я считаю, также важно.
Роман, граница между теорией и практикой наблюдается в отчетах по безопасности Microsoft, но у вас, конечно, есть полное право считать себя опытнее среднестатистического пользователя (сарказма тут нет). Однако заметьте, что вы полагаетесь на проактивную защиту там, где нужно закрывать уязвимости на конструктивном уровне. И это уже никакая не теория, а самая что ни на есть практика :)
Как и многие, обновления проверяются автоматически, но решение об установке принимаю самостоятельно. WES7. Но что интересно, embedded версии XP поддерживается, минимум до 2019 г. да и китайцы будет поддерживать. Лично мне не актуально, но умельци пользуется и где-то уже видел сборки майских обновлений.
И чем вы руководствуетесь, принимая решение?
Жду денек, чтобы убедится, что M$ опьять не напортачили.
Сегодня включал второй компьютер, на котором стоит Windows 7 и который я не включал несколько дней. За это время пришло одно обновление (какое-то обновление безопасности IE). Обновления устанавливаются в автоматическом режиме (специально залез в настройки, чтобы убедиться). Что я увидел. Сначала в трее появился жёлтый щит «обновления загружаются». Потом он пропал (т.к. загрузка завершилась). Потом выскочил щит снова: «обновление доступно для установки». Я щёлкнул на него, посмотрел список обновлений (только одно вышеупомянутое, галка на нём стоит), нажал кнопку «Установить обновления». Обновление установилось, перезагрузки не попросило.
Вот что меня удивило: настроена автоматическая установка обновлений, но поведение напоминало режим автоматической загрузки с запросом пользователя. Если уж установка автоматическая, то это обновление должно было само поставиться во время простоя? Или во время перезагрузки? Или «ваш компьютер будет перезагружен через 15 минут»?
Александр, думаю, что если бы вы не установили вручную, оно само бы поставилось — например, при следующей перезагрузке (и ее кнопка бы называлась «Обновить и перезагрузить»).
Александр [Маздайщик], в настройках автоматического обновления указано точное время, когда обновления должны устанавливаться, если пользователь этого не делает сам или не перезагружает/выключает компьютер. Искаться и скачиваться же они могут в любое время (по умолчанию, если я не ошибаюсь, это раз в 17,6~22 часа, если компьютер не выключать, либо при включении).
Спасибо. Внимательно поглядел на параметры установки обновлений. Для Windows 7 указывается время, когда обновления надо ставить (по умолчанию ежедневно в 3 часа ночи), для Windows 8 — во время автоматического обслуживания (при простое).
Бюллетени не читаю. Не считаю нужным и интересным. Поскольку не озабочен манией преследования и не считаю Windows настолько дырявой, что она сама не справится с проблемами.
В опросе указал «Не знаю», потому что ищу и устанавливаю обновления только вручную и только тогда когда у меня есть на это время и свободный трафик, поскольку используется очень низкая скорость и мои действия приведут к невозможности потребления трафика членами семьи на других компьютерах.
Меня аж так и подмыло при Ваших словах: «Как ни странно, в блог еще иногда приходят владельцы этой ОС.» Ничего странного в этом нет. Она как минимум ничуть не хуже из любой из существующих. И как минимум не менее стабильна и безопасна. И как минимум не менее удобна(если не сказать, что даже более). И как минимум не менее быстра(если не сказать, что даже более).
Обновления устанавливаю лишь те, которые действительно мне необходимы. Поскольку среди них встречаются те, что мне просто не нужны. Например, обновления драйвера видео. К чему скачивать довольно большой объём драйвера, если меня вполне устраивает работа того, что уже установлен? Или средство удаления вредоносных программ? Я не собираюсь ничего искать, поскольку антивирус(кстати тот же MS Security) делает совершенно то же самое.
На 8.1 ситуация почти повторяется.
А вот на Windows RT 8.1 обновления устанавливаются автоматически. И изменить эту ситуацию невозможно. Поскольку отсутствует опция управления этими режимами. В Центре обновления указано, что: «Вы настроили автоматическую установку обновлений». При этом в левой панели настроек отсутствует кнопка «Настройка параметров».
Что касается безопасности, то в Windows достаточно потенциала, чтобы не потерять лицо. И самый первый из них это UAC, обеспечивающий вероятно процентов 99 возможностей безопасности. Рядом вплотную следует работа под учетной записью обычного пользователя. Если ещё применять и SRP, то естесственно на бюллетени безопасности смотреть не захочется никогда, поскольку это является всего лишь праздным чтением.
Не исключаю, возможно и есть малварь, которой не нужны права админа. Возможно есть и такая, которая может испортить или зашифровать какие-то файлы пользователя, такие как документы или графические файлы. Но ведь в Windows и на это есть адекватный ответ. Те кто в курсе, догадаются о чем я сказал.
Андрон, да, про Vista я и вас имел в виду. И да, я не вижу веских оснований продолжать пользоваться этой ОС, если есть возможность перейти на 7 или 8 (желание — другое дело).
Из прочего отмечу, что автоматическое обновление не ставит драйверы, т.к. он необязательны. Windows RT не владею, но подозреваю, что и там можно добиться ручного обновления — ПУ же не единственный способ контроля.
А у меня вот другая проблема: после скачивания обновлений (примерно с марта месяца) при перезагрузке появляется сообщений о том, что не удалось произвести настройку и установку обновлений и производится откат до версии ОС предшествовавшей обновлению
Тимур, вам сюда: Проблемы с центром обновления Windows и ошибки при установке обновлений (все вопросы)
По-прежнему пользуюсь XP SP3 на своих десктопах. ОС эта и по сей день очень проста и удобна.
Хотя, вижу огромный потенциал в Windows 8/8.1 У меня на ноуте 8.1. Очень доволен. Как мобильная ОС — идеальный вариант. (К слову, для КПК — лучше Android. И лучше 2.3.5)
XP SP3 на рабочем компе, честно сказать, не обновляю. Там Интернет-соединение не постоянное и скорость 1-2 Мб/с. Обновлять слишком долго и дорого, как в старые добрые времена.
Дома обновляю вручную и регулярно. Вчера самопально продлил поддержку.
На ноутбуке с 8.1 когда как… Но обычно он сам начинает качать, когда «почувствует» сигнал Вай-Фая. Ну и… Я вовсе не против.))
Вадим, в самой первой таблице напротив Windows 10 в колонке «Начало поддержки» указано «13-Oct-2020». Нет ли здесь опечатки? Ведь ОС уже вышла в 2015. :)
Исправил, спасибо