Ретельне розгляд безпеки Windows 7, Windows, Операційні системи, статті

Намагаючись відповісти на це питання, гуру безпеки інтернет-видавництва PCMag Ніл Дж. Рубенкінг (Neil J. Rubenking) розглянув захисні можливості Windows 7 і написав статтю, в якій оцінив все в новинку – починаючи від інтерфейсу і сумно відомого UAC (User Account Control) до міжмережевого екрану (файрвола), мережевих можливостей і шифрування BitLocker. Він навіть поговорив з деякими розуміючими в області безпеки людьми, намагаючись з’ясувати їхні враження від платформи Windows Filtering – основного набору ключових можливостей, який можуть використовувати або не використовувати інші виробники.


У загальному і цілому, Рубенкінг виявив, що системна безпека Windows 7 багато в чому нагадує безпеку іншої операційної системи. Зокрема багато схоже на Vista, але в деяких областях безпека покращена. Так, Microsoft внесла безліч змін в різні області Windows 7, але це не ті зміни, від яких велика частина користувачів відразу ж отримає вигоду. Сам Рубенкінг написав, що Vista за своєю суттю більш безпечна, ніж Windows XP. Пов’язано це з тим, що Microsoft внесла в платформу Vista значні зміни, що торкнулися користувацьких звичок і навіть зажадали деяких химерних переписувань драйверів і т.п. У той же час поліпшення безпеки між Vista і Windows 7 не настільки серйозні. В безпеки, як і в інших областях, Windows 7 – це Vista, але тільки краще.


Отже, давайте розглянемо записи Рубенкінга і оцінимо для себе, наскільки ми в безпеці або навпаки в небезпеці під Windows 7.


Безпека Windows 7: Початок


Компанія Microsoft стверджує, що Windows 7 володіє поліпшеною безпекою, надійністю та продуктивністю. Впровадження в операційну систему таких концепцій як захист ядра від виправлення, запобігання виконання даних, рандомізація адресного простору, обов’язкові рівні цілісності звучить добре, якщо не враховувати, що рання пропаганда Vista теж рекламувала безпека операційної системи, однак більшість з цих обіцянок провалилися при матеріалізації. Так чи буде Windows 7 краще Vista, чи виправдає остання операційна система покладені на неї надії?


В дійсності, цілі Windows 7 звучать трохи краще малоймовірних концепцій Vista. Я досліджував елементи безпеки і в Beta і в RC-версіях Windows 7. Тепер же у мене з’явився шанс поглянути на фінальний код операційної системи. Втім, мені вже ясно, що безпека в Windows 7 краще, ніж в Vista. Правда, не набагато.


Автоматичні оновлення


Установка Beta і RC проходила досить швидко, тому що я виконував чисту установку операційної системи на тестову машину. У той же час апгрейд моєї робочої системи на фінальну версію Windows 7 виявився набагато більш довгим і важким процесом. Я запустив майстер апгрейда (Windows 7 Upgrade Advisor) і дотримувався всіх його порад, оновлюючи програми, замінюючи Windows Mail на Windows Live Mail і т.п. В результаті ж апгрейд зайняв у мене приблизно 3:00. Правда, позитивний моментом цього процесу був у те, що мені не довелося сидіти весь цей час поруч із комп’ютером, відповідаючи на запитання.


Ще в дні бета-версії Windows 7, я помітив, що установник дозволяв мені вибирати включення або не включення автоматичних оновлень. Це залишилося незмінним і у фінальній версії. Однак, установник “рекомендує” включити автоматичні оновлення. Однак я б вважав за краще бачити, щоб Windows 7 прямо при установці налаштовувалася на повне включення автоматичних оновлень. А користувачам потім необхідно було розповісти, як ці оновлення відключити. Цей простий здавалося б крок дозволив би захистити мільйони машин у світі від повсякденних експлойтів і т.п. Що ж, може бути в Windows 8 …


Центр безпеки – Action Center


Windows 7 не лаялася на мій Norton Internet Security 2010, так як Norton не був перешкодою і для апгрейда. У той же час без установки Norton новий центр безпеки Action Center попереджав би мене про відсутність антивірусного захисту. Старий центр безпеки Vista Security Center просто відслідковував наявність міжмережевого екрану (брандмауера або файрволла) і антивірусного захисту, плюс автоматичних оновлень. Проте новий Action Center, який замінив Security Center, також повідомляє про проблеми з захистом від шпигунського програмного забезпечення, про безпеку в Інтернет, про UAC, про обслуговування системи і т.п.


Іконка центру безпеки в зоні повідомлень замінює п’ять окремих іконок в Vista. Крім того, за даними блогу розробки Windows 7, вона повинна показувати повідомлення користувачу лише в тому випадку, якщо від нього потрібні якісь відповідні дії. Ви більше не повинні бачити будь-яких спливаючих повідомлень, які всього лише про щось повідомляють. Всі спливаючі вікна тепер важливі і мають практичне значення. Мені це подобається!


Отже, про що ж, по-перше, мене попередив центр безпеки? “Windows встановить оновлення за розкладом”. Ось воно що! Центр сподобився попередити мене про те, що установка оновлень може викликати перезавантаження комп’ютера. Просто попереджайте мене перед будь перезавантаженням!


Захист від вірусів


Якщо у вас не встановлений антивірус або яка-небудь захист від шпигунських програм, то центр безпеки буде до вас приставати до тих пір, поки ви не здастеся і не встановите небудь, що він знає. А знає він, треба сказати, майже всі сучасні продукти безпеки. Якщо ж ви встановите небудь, що центр не знає, то його дратівливі повідомлення ви зможете відключити.


На початку бета-тестування посилання на інформацію про програми безпеки приводила на сторінку знаходиться в розробці. У той же час до моменту виходу Windows 7 RC на цій сторінці вже були посилання на сім основних розробників програм безпеки з сумісними продуктами. В даний час в списку цієї сторінки значиться близько 20 розробників сумісних продуктів безпеки. Безкоштовно можна спробувати Microsoft Security Essentials 1.0, AVG Anti-Virus Free Edition 9.0 або Avast! 4.8 Home Edition.


У перший день використання Windows 7 Beta мене замучили спливаючі вікна UAC, над прирученням якого Microsoft тоді ще працювала. Однак у фінальній версії Windows 7 все значно покращився як в плані числа спливаючих вікон, так і в плані настройки UAC. Втім, про UAC я розповім в наступному розділі.


Безпека Windows 7: UAC


Люди, які купили собі комп’ютери з попередньо встановленою Vista, як правило радісніше тих, хто проапгрейділі з XP (особливо якщо апгрейд йшов не за планом майстра оновлення). Те ж саме можна сказати і про Windows 7. Навіть виконавши всі поради майстра оновлення Windows 7 при апгрейді з Vista, мені все-таки довелося танцювати з бубном, щоб відновити своє підключення до мережі PCMag.


Однак, навіть великі фанати Vista, які ніколи не відчували жодних проблем з апгрейдом, повинні визнати, що UAC може бути дуже дратівливим. На щастя, розробляючи Windows 7, Microsoft внесла в UAC значні поліпшення.


Чому UAC?


Vista розроблялася так, щоб бути значно безпечніше XP. І UAC став наріжним каменем схеми безпеки Vista. Метою UAC є заборона всіх змін системного рівня без дозволу адміністратора. І навіть якщо ви працює під обліковим записом адміністратора, всі ваші дії виконуються на мало-привілейованому “Стандартному» рівні. В результаті, ще до того, як який-небудь мерзенний вірус (або навіть корисне додаток) зможе зробити що-небудь потенційне небезпечне, на зразок запису в папку Windows, йому доведеться отримати на це дозвіл.


Спливаючі вікна UAC в Vista особливо шокують через так званого “режиму безпеки робочого столу”. Екран швидко темніє, і все на ньому за винятком вікна UAC стає тьмяним. Більше того, до тих пір поки ви не відповісте на запит UAC, все, що ви до його появи робили, є неактивним. Так, це може стати перешкодою для шкідливих програм, однак це також може стати неприємним шоком і для вас.


Менш відлякує, але майже таким же дратівливим є сценарій “Я ж тобі щойно казав!”. Ви запускаєте програму, і UAC негайно задає вам питання, про те чи хочете ви запустити її. Чорт! Звичайно, ви хочете! Від таких запитань користувачі можуть дійсно впадати в сказ, і навіть адміністраторам доводиться постійно клікати “Так”.


А тепер уявіть обурення стандартного користувача, якому при цьому доводиться ще й вводити пароль адміністратора або, що ще гірше, йти шукати адміністратора, щоб той ввів свій пароль. В одному випадку з тисячі спливла вікно UAC дійсно може запобігти запуск шкідливої ​​програми (і то, якщо користувач натисне “Ні”), проте в останніх 999 випадках воно викликає лише почуття роздратування.


В інженерному блозі Windows 7, Microsoft повторювала одну і ту ж саму фразу про те, що вимога підтвердження UAC для кожної дії є необхідним, адже воно змушує шкідливу чи погано написану програму виявити себе. Такий же підхід раніше використовувався в файрволл, які наповнювали нас незбагненними чергами спливаючих вікон – тьху!


Насправді, дизайнери Microsoft визнали, що UAC не здатний реально запобігти роботу шкідливої ​​програми, тому що Вам не володіють достатніми знаннями, щоб давати вірні відповіді на питання. Більшість користувачів на всі запити UAC завжди відповідають Та й тим самим дозволяють програмі робити те, що вона збиралася. Цифри самої Microsoft показують, що користувачі клацають Так в 90% випадків. Зазвичай ця відповідь правильний, хоча в більшості випадків користувачі не можуть відрізнити крик UAC про правильну програмі від крику про шкідливою.


Великі ідеї


У блозі Windows 7 інженери Microsoft привітали самі себе за те, що UAC змусив розробників програм використовувати функціонал, який не завжди вимагає привілеїв адміністратора.


Однак, вони визнали наявність проблем і в самому UAC. Так, наприклад, їх дослідження показали, що сама Windows є причиною приблизно 40% запитів UAC. Ні, правда! Компоненти Windows намагаються зробити небудь важливе, але UAC зупиняє цей процес, вибиваючи з користувача згоду. У той же час розробники Windows 7 заявили, що вони очікують меншого числа запитів UAC від компонентів Windows. В Зокрема, цілі вони собі поставили такі:



В результаті, вже бета-версія Windows 7 показала поліпшення UAC по цим цілям. Все стало ще краще в Windows 7 RC. Фінальна ж версія Windows 7 отримала значно менше дратівливий UAC, ніж в Vista.


Ясний вибір


Там де запит UAC в Vista просто повідомляє, що “Windows потребує вашому дозволі на продовження”, Windows 7 може запитати, “Ви хочете дозволити такій програмі внести зміни на цей комп’ютер?” або “Для перейменування цієї папки вам необхідно надати дозвіл адміністратора”. За словами Microsoft, її дослідження показали, що модифіковані таким чином запити UAC легше розуміються користувачами.


У користувачів Vista була можливість відключити UAC. У той же час Windows 7 пропонує невелику альтернативу повного відключення UAC. Пересуваючи повзунок, користувачі можуть налаштовувати UAC на чотири різних рівня повідомлень. Від самого дратівливого до самого простого:



За замовчуванням встановлюється рівень 3. На цьому рівні внесення змін, ініційоване програмою, викликає появ запиту UAC. Проте зміни, що вносяться користувачем, запиту не викликають. Збільште рівень до позначки 4 і тоді навіть ваші зміни будуть викликати UAC, як в Vista. Рівень 2 це те саме, що й рівень 3, за винятком того, що запит UAC не викликає затемнення робочого столу. Це робить запит менш шокуючим, проте це також дає додаткові шанси шкідливої ​​програми на виживання.

Безпека Windows 7: UAC


Я думав, що рівень 1 означає повне відключення UAC. Однак, Допомога повідомила мені, що на першому рівні відключаються лише спливаючі вікна UAC. Під адміністратором всі програми – погані вони чи хороші – Можуть вносити зміни в систему без всяких перешкод. У той же час під стандартним користувачем будь-яка дія, яка викличе спливаюче вікно UAC, всього лише тихесенько потерпить невдачу. Ой!


Дослідження Microsoft показало, що користувачі, які отримали більше одного запиту UAC в ході сесії в Windows, найімовірніше назвуть UAC дратівливим. Воно також показало, що який-небудь відчутною різниці в захисті від шкідливих програм між рівнями 3 і 4 немає. Ось чому компанія вибрала менш суворий третій рівень як рівень за замовчуванням. І ось чому вам не варто змінювати його.


Опір підробленими натиснень клавіш


Раніше в цьому році, експерти з безпеки повідомили, що налаштування діалогу UAC в Windows 7 Beta уразливі до атак. Якщо рівень UAC був встановлений на максимум, то для користувача програма могла повністю відключити UAC за допомогою відправки підроблених натискань клавіш в діалог управління UAC.


За даними блогера Ларі Сельтзера (Larry Seltzer), дана атака працювала тільки при роботі в режимі адміністратора. UAC само, як вважалося, мав змусити всіх працювати під стандартним користувачем. Сельтзер тоді продовжив, заявивши, що подібна атака може нанести набагато більшу шкоду, якщо її застосувати до інших аплетам панелі управління Windows. У той же час Microsoft не стала ігнорувати цю проблему, а навпаки виправила її, змусивши діалог UAC працювати як “високо-інтегрований” процес, який, за її словами, “не дає працювати всім засоби обходу SendKeys і т.п.”.


І, здається, Microsoft говорила правду. Діалог настройки UAC тепер повністю ігнорував всі невеликі, написані мною програми, які посилали до нього підроблені натискання клавіш і кліки миші. Хоча, я був би більш щасливий, якщо б кожна спроба зниження рівня UAC приводила б до появи повідомлення UAC з потемнілим робочим столом – для хакерів це стало б проблемою.


Мій список побажань по UAC


Microsoft, безумовно, поліпшила UAC в Windows 7. Але все-таки дещо в ньому мене дратує. Так, наприклад, я не вважаю, що UAC повинен виводити свої запити на дозвіл підняття привілеїв для відомої, перевіреної програми, як і для будь-якого компонента Windows. Багато розробники програм безпеки використовують так звані “білі списки”, в яких перераховані мільйони перевірених ними програм.


Я впевнений, що Microsoft володіє всім необхідним, щоб зробити те ж саме. Якщо ж програма не відома, то UAC повинен її тестувати, а не просто спиратися на факт, що вона вимагає підняття рівня привілеїв. В результаті ж UAC повинен приймати за програмою обдумане рішення про те, чи варто дозволити їй роботу, або її варто блокувати. Не треба перекладати відповідальність за програми на користувача! Лише в цьому випадку UAC стане дійсно хорошим засобом захисту.


Безпека Windows 7: Міжмережевий екран і Мережа


Міжмережевий екран (брандмауер або файрволл) Windows не викликає поваги. Злегка змінившись при переході з XP на Vista, він не погано справляється зі своєю простим завданням, проте йому не вистачає амбіцій, щоб стати кращим персональним файрволлом. Втім, незважаючи на те, що файрволл Windows 7 отримав кілька нових можливостей, все-таки він не отримав того, що я очікував в ньому побачити.


Звісно з Домашньої групою


Під час установки Windows 7 пропонує створити “домашню групу”. У міру виявлення в мережі інших комп’ютерів з Windows 7, їм також пропонується приєднатися до групи. І все що їм для цього треба – це пароль до неї. Однак, маючи один комп’ютер під Windows 7, я не бачив процесу входу в групу інших комп’ютерів, хоча повідомлення про це не завадить. Втім, якщо будь-який комп’ютер з Windows 7 може приєднатися до домашньої групи, то комп’ютери під Windows 7 Home Basic і Windows 7 Starter не можуть створити її.


Комп’ютери в одній і тій же домашньої групи можуть спільно використовувати (або, як кажуть “расшарівать”) принтери і специфічні бібліотеки файлів. За замовчуванням, расшарівать бібліотеки малюнків, музики, відео та документів, проте користувач може обмежити їх на свій розсуд. Допомога в операційній системі дає ясні пояснення того, як виключити файл або папку з розшарювання, або як зробити їх доступними тільки для читання або як обмежити до них доступ.


У своїй домашній мережі користувач може расшарівать свій контент і для інших комп’ютерів і пристроїв, і навіть для комп’ютерів не під Windows 7 і навіть для не комп’ютерів зовсім. Зокрема, Microsoft показувала приклади, як можна розшарити контент для Xbox 360. Втім, компанія не пропонує підключити до мережі Wii. На жаль, але Wii компанія не кваліфікувала, як пристрій потокового медіа.


Отже, наскільки ж домашня мережа в Windows 7 більш безпечна? Зазвичай користувачі, потерпілі невдачу з розшарювання файлів і папок, починають відключати все навколо, включаючи файлволл, антивірус і т.п., що, на їхню думку, може заважати цьому процесу. У той же час, якщо зробити расшаріваніє простим, то відключення всього навколо можна і уникнути.


Якщо Vista поділяє мережі на публічні (Public) і приватні (Private), то Windows 7 поділяє приватну мережу на домашню (Home) і робочу (Work). Домашня група (HomeGroup) доступна тільки при виборі домашньої мережі. Однак і в робочій мережі ваш комп’ютер все-таки може бачити і підключатися до інших пристроїв в ній. У свою чергу в публічній мережі (на кшталт бездротового в інтернет-кафе), Windows 7 блокує доступ до вас і від вас до інших пристроїв, для вашої безпеки. Це невелика, але приємна можливість.


Дворежимний файрволл


У Vista і XP управління файрволлом зводиться до його простому включення і виключення. У той же час Windows 7 пропонує користувачеві різні конфігурації налаштувань для приватних (домашніх і робочих) і публічних мереж. При цьому користувачеві не треба входити в налаштування файрволла, щоб попрацювати, скажімо, в локальному кафе. Йому досить вибрати публічну мережу, і файрволл сам застосує весь набір обмежують параметрів. Найімовірніше, користувачі налаштують публічну мережу на блокування всіх вхідних з’єднань. У Vista цього не можна було зробити без обрізання також всього вхідного трафіку у власній мережі користувача.


Деякі користувачі не розуміють, навіщо потрібен файрволл. Якщо працює UAC, чи не є файрволл надмірністю? Насправді, ці програми мають абсолютно різними цілями. UAC стежить за програмами та їх роботою всередині локальної системи. Файрволл ж пильно вдивляється у вхідні і вихідні дані. Якщо уявити ці дві програми, як двох героїв, що стоять спина до спини і відображають атаки зомбі, то, можна сказати, майже не помилишся.


У перший момент мене заінтригувала нова можливість “Повідомляти мене, коли Windows Firewall блокує нову програму”. Чи не є це ознакою того, що Windows Firewall отримав управління над програмами і став дійсним двостороннім файрволлом?. Мене з’їдала бажання відключити цю можливість. І в результаті Windows Firewall не отримав більшої поваги, ніж мав.


Минуло вже десять років з тих пір, як компанія ZoneLabs популяризувала двосторонній персональний файрволл. Її програма ZoneAlarm приховувала всі порти комп’ютера (що вміє і Windows Firewall) і також дозволяла управляти доступом програм в Інтернет (цього Windows Firewall не вміє до сих пор). Я не вимагаю інтелектуального моніторингу поведінки програм, як, наприклад, в Norton Internet Security 2010 і в інших пакетах. Але я сподіваюся, що до виходу Windows 8, Microsoft все-таки запровадить в свій файрволл опцій десятирічної ZoneAlarm.


Microsoft чудово знає, що багато користувачів встановлюють сторонні файрволли і пакети безпеки і просто відключають Windows Firewall. У минулому багато програм безпеки третіх фірм автоматично відключали Windows Firewall щоб уникнути конфліктів. У Windows 7, Microsoft зробила це сама. При установці відомого їй файрволла операційна система відключає свій вбудований файрволл і повідомляє, що “Настройки файрволла управляються такий-то програмою від такого-виробника”.


Чи будете ви його використовувати чи ні, Windows Firewall присутній в кожній Windows 7, володіючи при цьому грунтовної інтеграцією з операційною системою. Так чи не буде краще, якщо програми безпеки третіх фірм зможуть використовувати файлволл Windows в своїх цілях? Ця ідея лежить за інтерфейсом програмування, названим платформою фільтрації Windows – Windows Filtering Platform. Але чи будуть користуватися їй розробники? Про це в наступній частині.


Безпека Windows 7: Платформа фільтрації Windows – Windows Filtering Platform


Файрволли повинні працювати з Windows 7 на дуже низькому рівні, що абсолютно ненавидять програмісти Microsoft. Деякі технології Microsoft, на зразок PatchGuard, присутні в 64-х бітних виданнях Windows 7 (64-х бітні Windows 7 мають ряд переваг в безпеці над 32-х бітними Windows 7), блокують зловмисників і також захищають ядро ​​від доступу до нього. І все-таки Microsoft не надає такого рівня безпеки, як у програм третіх осіб. Так що ж робити?


Вирішенням цієї проблеми є платформа фільтрації Windows – Windows Filtering Platform (WFP). Остання, за словами Microsoft, дозволяє засновувати файрволли третіх фірм на ключових можливостях Windows Firewall – дозволяє додавати в них настроюються можливості і вибірково включати і відключати частини Windows Firewall. В результаті користувач може вибирати собі файрволл, який буде співіснувати з Windows Firewall.


Але наскільки це дійсно корисно для розробників програм безпеки? Чи стануть вони цим користуватися? Я опитав декілька чоловік і отримав масу відповідей.


BitDefender LLC


Менеджер з розробки продуктів Юліан Костаче (Iulian Costache) заявив, що його компанія в даний час використовує цю платформу в Windows 7. Однак вони зіткнулися із значними витоками пам’яті. Помилка знаходиться на стороні Microsoft, що найбільший програмний гігант вже підтвердив. Тим не менш, Юліан не знає, коли вона буде вирішена. Поки ж вони тимчасово замінили новий драйвер WFP на старий TDI.


Check Point Software Technologies Ltd


Менеджер зі зв’язків з громадськістю в Check Point Software Technologies Ltd Мирка Янус (Mirka Janus) заявив, що його компанія почала використовувати WFP ще з Vista. Також вони використовують платформу і під Windows 7. Це хороший, підтримуваний інтерфейс, але будь-яка шкідлива програма або несумісний драйвер можуть бути небезпечними для продукту безпеки, що спирається на нього. ZoneAlarm завжди спирався на два шару – шари мережевих з’єднань і пакетного рівня. Починаючи з Vista, Microsoft запропонувала WFP як підтримуваний спосіб фільтрації мережевих з’єднань. Починаючи з Windows 7 SP1, Microsoft повинна навчити WFP включених пакетних фільтрації.


“Використання підтримуваних API означає покращену стабільність і зменшене число BSOD. Багато драйвери можуть реєструватися і кожному розробнику драйверів не треба турбуватися про сумісність з іншими. Якщо який-небудь драйвер, скажімо, блокований, жоден інший зареєстрований не може обійти цю блокування. З іншого боку, несумісний драйвер може стати проблемою, обійшовши всі інші зареєстровані. Ми не спираємося на один лише WFP для мережевої безпеки “.


F-Secure Corporation


Старший дослідник у F-Secure Corporation Мікко Хіппонен (Mikko Hypponen) заявив, що з якоїсь причини WFP ніколи не ставав популярним серед розробників програм безпеки. У той же час його компанія досить довго використовувала WFP, і була від цього щаслива.


McAfee, Inc.


У свою чергу провідний архітектор McAfee Ахмед Салам (Ahmed Sallam) заявив, що WFP є більш потужним і гнучким інтерфейсом мережевої фільтрації, ніж попередній інтерфейс, заснований на NDIS. McAfee активно використовує WFP у своїх продуктах безпеки.


У той же час, незважаючи на те, що WFP володіє позитивними можливостями, перевагами платформи можуть скористатися і кіберзлочинці. Платформа може дозволити шкідливої ​​програмі увійти в мережевий стек рівня ядра Windows. Тому 64-х бітні драйвера Windows рівня ядра повинні мати цифрові підписи, щоб захистити ядро ​​від завантаження в нього шкідливих програм. Однак цифрові підписи не обов’язкові на 32-х бітних версіях.


Так, теоретично цифрові підписи є розумним захисним механізмом, але в реальності автори шкідливих програм таки можуть придбати собі і їх.


Panda Security


Представник Panda Security Педро Бустаманте (Pedro Bustamante) сказав, що його компанія стежить за платформою WFP, але в даний час її не використовує. Основними недоліками WFP компанія вважає, по-перше, відсутність можливості створити технологію, яка б комбінувала різні техніки для максимізації захисту. Технологія марна, якщо компанія не може поглянути у вхідні і вихідні пакети в машину. Також вона повинна виступати датчиком для інших технологій захисту. Жодну з цих можливостей не надає WFP. По-друге, WFP підтримується лише Vista і більш новими операційними системами. Зворотною сумісності у платформи немає. І, по-третє, WFP є досить новою платформою, а компанія вважає за краще спиратися на більш старі і перевірені технології.


Symantec Corp.


Директор з менеджменту споживчих продуктів в Symantec Ден Надир (Dan Nadir) заявив, що WFP поки не використовується в їх продуктах унаслідок відносної новизни. Проте, з часом компанія планує мігрувати на неї, тому що старі інтерфейси, на які вони спираються зараз, не зможуть надати всю повноту необхідної ними функціональності. WFP вони вважають хорошою платформою, тому що вона була спеціально розроблена для забезпечення функціональної сумісності між безліччю програм третіх фірм. В принципі, в майбутньому проблем сумісності у платформи повинні бути ще менше. WFP також хороша тому, що інтегрована з Microsoft Network Diagnostic Framework. Це надзвичайно корисно, тому що значно полегшує пошук специфічних програм, які є перешкодою для мережевого трафіку. І, нарешті, WFP повинна привести до поліпшення продуктивності і стабільності операційної системи, тому що платформа уникає емуляції і проблем з конфліктами чи стабільністю драйверів.


Втім, з іншого боку, на думку Надира, WFP може створювати певні проблеми, що існують в будь-якій структурі – розробники, спираються на WFP не можуть закрити уразливості всередині самої WFP, як не можуть і розширити специфічні можливості, пропоновані WFP. Також якщо багато програм будуть спиратися на WFP, то творці шкідливих програм теоретично можуть спробувати атакувати саму WFP.


Trend Micro Inc.


Директор з досліджень в Trend Micro Inc. Дале Льао (Dale Liao) сказав, що величезним перевагою платформи є сумісність з операційною системою. Також стандартний файрволл зараз став корисним. Тому тепер вони можуть сфокусуватися на справді значущих його можливості для користувача. Погано ж в WFP те, що при виявленні в платформі помилки, компанії доводиться чекати її виправлення від Microsoft.


WFP: Висновок


В результаті, більша частина опитаних мною розробників програм безпеки вже використовує WFP. Правда, деякі паралельно з іншими технологіями. Їм подобається функціональна сумісність, подобається документованість і офіційність платформи і також передбачувана стабільність її роботи. З іншого, негативного боку, якщо всі розробники стануть спиратися на WFP, то платформа потенційно може стати для всіх вразливою точкою. І для її виправлення їм доведеться спиратися на Microsoft. Крім того, платформа поки не пропонує фільтрації рівня пакетів.


Великим недоліком WFP також є те, що її немає в Windows XP. Тому розробникам, які хочуть підтримувати XP, доведеться вести два паралельних проекту. Втім, у міру того, як XP буде йти з ринку, я думаю, WFP стане більш популярною серед розробників.


Безпека Windows 7: BitLocker і т.п.


UAC є слоном в кімнаті при будь-якому обговоренні безпеки Vista. У Windows 7, як ми вже з’ясували, UAC набагато поліпшений. Покращення отримала і мережева безпека і файлволл. Однак крім вищенаведених можливостей безпеки Windows 7 пропонує і інші. І деякі з них досить приємні.


BitLocker To Go


Vista прийшла до нас з рядом нових можливостей безпеки, серед яких опинився і BitLocker – інструмент шифрування диска, розроблений для захисту даних користувача навіть при крадіжці комп’ютера або накопичувача. Весь свій потенціал BitLocker показує на комп’ютерах зі спеціальним чіпом Trusted Platform Module (TPM). Останній прозоро дешифрує накопичувач, правда лише після того, як користувач аутентифікує себе за допомогою пароля або смарт-карти. У той же час злодюжка не може зчитати інформацію з накопичувача навіть якщо завантажитися в іншу операційну систему або встановить сам накопичувач в інший комп’ютер.


У свою чергу Windows 7 поширила цю захисну можливість на всі накопичувачі, крім завантажувального. Що ще більш важливо, можливість BitLocker To Go здатна працювати зі знімними накопичувачами і не вимагати при цьому TPM. Включення цієї можливості також просто, як вибір BitLocker з меню правого кліка. Далі для шифрування користувач просто вводить ідентифікаційну фразу або використовує смарт-карту, ховає подалі 40-бітовий ключ відновлення на випадок втрати смарт-карти або фрази і через кілька секунд отримує свій накопичувач зашифрованим. Простота!


Наступного разу при підключенні знімного накопичувача, Windows 7 вимагає ввести для нього ідентифікаційну фразу або показати їй смарт-карту. Якщо офіс користувача відносно безпечний, то Windows можна налаштувати на запам’ятовування аутентифікаційні ключа і автоматичне відкриття накопичувача при його підключенні до комп’ютера.


Ви, ймовірно, не станете робити цього у себе вдома, але IT-адміністратори можуть використовувати групові політики для зміни довжини ідентифікаційної фрази або навіть для заборони запису на будь незахищений знімний накопичувач. BitLocker – потужний захисний інструмент. З ним, і правильно налаштованої політикою, користувач не зможе випадково забрати з собою незахищену копію плану його компанії про майбутнє світовому домінуванні. З іншого боку, програма захищає накопичувач лише від запису. Тому неуважний користувач завдяки випадку може притягти на комп’ютер чергову шкідливу програму місяці.


Інша настройка групової політики керує захистом накопичувачів під FAT c BitLocker To Go від читання на системах до Windows 7 (накопичувачі в NTFS несумісні з цією можливістю). За замовчуванням, утиліта читання BitLocker To Go Reader робить копію захищеного накопичувача. Втім, настройка політики відключає це автоматичне копіювання. У Windows 7 Beta ці політики не працювали, проте зараз вони цілком ефективні.


Якщо включений Autorun, то BitLocker To Go Reader завантажується автоматично. Якщо ж ви відключили Autorun, то все трохи ускладнюється. Вам доводиться шукати BitLocker To Go Reader серед маси специфічних файлів для користувача інтерфейсу і завантажувати його вручну. Microsoft могла б вирішити цю проблему, розмістивши Reader в окремій папці.


Зверніть увагу, що під старими системами “Reader” дає доступ до захищеного накопичувачу лише для читання. Ви можете копіювати з нього дані, але ви не можете на нього нічого записати або щось змінити на ньому. Тільки система з Windows 7 може скопіювати дані на захищений накопичувач. Трохи пограти з BitLocker, я вимкнув цю можливість. Windows 7 розшифрувала мій накопичувач і видалила програму Reader, повернувши його в попередній стан.


Треба сказати, що лише видання Windows 7 Business і Ultimate можуть встановлювати захист BitLocker To Go на знімні накопичувачі. Однак якщо захист вже встановлена, користувач може використовувати захищений накопичувач на будь Windows 7.


Бонусна безпеку від IE8


Windows 7 спирається на Internet Explorer 8 як на свій вбудований браузер. Про можливості безпеки браузера я швиденько розповім нижче.



Різні дрібниці


Захисник Windows (Windows Defender) – досить слабенький інструмент проти шпигунських програм все ще ховається в глибинах Windows 7. Як і Windows Firewall, за замовчуванням він вимикається, як тільки ви встановите якусь захисну програму. Якщо ж ви дійсно хочете встановити собі безкоштовну антівредоносную програму від Microsoft, то краще спробуйте Microsoft Security Essentials 1.0.


Я не великий фанат системного відновлення. Я бачив, що воно викликає набагато більше проблем, ніж вирішує їх. І, тим не менш, користувачі часто звертаються до системного відновлення, коли намагаються позбавитися від будь-яких реальних чи надуманих проблем з шкідливими програмами.


У Windows 7 відновлення системи, по крайней мере, дає уявлення про те, які проблеми можуть виникнути разом з ним – адже утиліта показує список видаляються або відновлюваних програм і драйверів. Раніше, в Vista користувачам доводилося вгадувати яку точку відновлення їм краще вибрати. Крім того, Windows 7 дозволяє контролювати обсяг місця, використовуваний відновленням системи, і також дозволяє вибирати між відновленням попередніх версій файлів і системних параметрів або ж просто відновленням попередніх версій файлів.


Нова можливість AppLocker, доступ до якої здійснюється через локальні політики безпеки контролює які програми користувач може використовувати, а які ні. У порівнянні з політиками Vista, ця можливість набагато більш гнучка. IT-підрозділу компаній повинні полюбити її, хоча користувачі будуть її ненавидіти. Також Windows 7 включає вбудовану підтримку біометричних пристроїв, і навіть вхід в систему на основі відбитків пальців.


DirectAccess є ще однією можливістю, орієнтованої на IT-адміністраторів. Вона дозволяє адміністраторам забезпечувати мобільних співробітників прямим і безпечним доступом до корпоративної мережі. Користувачеві не доводиться входити в VPN – початкове підключення відбувається ще до входу в систему. Також можливість дозволяє адміністраторам нав’язувати мобільним користувачам правила доступу в мережу. Повинно бути можливість не погана, хоча я її не тестував.


Загроза конфлікер (Conficker), раніше цього року, знайшла своє відображення на автоматичному програванні AutoPlay. Дана можливість дозволяє вибирати дію при підключенні знімних носіїв. Крім звичайного “Відкриття папки для перегляду файлів” і “використання накопичувача для відновлення”, AutoPlay використовувався для витягування інформації з Autorun накопичувача. Це дозволяло конклікеру обманювати користувача помилкової записом “відкрити папку для перегляду файлів”. Для запобігання цього типу атак, Windows 7 показує загальний список вибору для знімних накопичувачів, але все-таки обробляє команди Autorun для CD і DVD носіїв. Крім того, програма дозволяє користувачеві вибирати дію за умовчанням для великого набору носіїв.


Висновки


Отже, чи безпечна Windows 7? В цілому безпеку операційної системи не погана, але все-таки не можна сказати, що вона карколомно поліпшена в порівнянні з Vista. Чи не багато чого змінилося і з мого бета-тестування Windows 7 приблизно з рік тому. Інженери Microsoft ввели нові рівні захисту UAC, зменшивши число повідомлень від захисної програми, і закінчили роботу над BitLocker To Go. У той же час в ході бета-тестування, я думав Windows Firewall стане повноцінною програмою. Проте цьому не судилося збутися.


Коли Windows Vista прийшла на зміну Windows XP, безпека була однією з ключових точок, на яку спиралася Microsoft в рекламі новинки. Vista отримала масу нових можливостей безпеки, орієнтованих на виправлення думки про Windows, як про небезпечною ОС.


У той же час такого значно відриву Windows 7 від Vista немає. UAC все ще залишається UAC, хоча він тепер і значно більш приємний і вихований. А нові можливості файрволла операційної системи є лише еволюційними, але не революційними.


Так серйозно покращився BitLocker To Go, але він не є новинкою в Windows. Тому майже всі зміни безпеки в Windows 7 є лише простим поліпшенням існуючих можливостей Vista. Але почекайте, Windows 7 адже спочатку була такою, адже так? Все правильно. Windows 7 – це Vista, хоча і покращена. Саме це ви хотіли почути?

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*