Ранее мы уже рассматривали две новые функции обеспечения безопасности Windows Vista — User Account Control и BitLocker Drive Encryption. Однако усовершенствованные возможности новой операционной системы Microsoft ими не ограничиваются. В Vista немало других средств обеспечения безопасности информационных сред, включая обеспечение защиты при регистрации в системе, виртуализацию файловой системы и реестра, усовершенствованную систему шифрования Encrypting File System (EFS), изоляцию служб и рабочих процессов, подпись драйверов, 64-разрядные функции безопасности, контроль доступа к USB-портам и технологию разграничения сетевого доступа Network Access Protection (NAP). Эти новые и усовершенствованные функции делают Vista наиболее защищенной из когда-либо выпускавшихся версий Windows.
Новые методы обеспечения защиты при регистрации в системе
Большинство пользователей сегодня применяют буквенно-цифровые пароли для доступа к защищенным компьютерам, а в Vista предусмотрено использование смарт-карт, биометрических устройств, например считывателей отпечатков пальцев, и прочие методы авторизации. Без сомнения, Microsoft вступает на многолетний путь перевода своих самых крупных клиентов с буквенно-цифровых паролей на более надежные методы аутентификации. Vista — первая операционная система, полностью поддерживающая перечисленные альтернативные возможности.
Для обеспечения этих функций безопасности в Vista полностью переписан интерфейс регистрации в систему Windows и технологии регистрации. В Vista имеется собственная поддержка не только новых типов аутентификации (смарт-карты и биометрические методы), но и множественных «учетных данных». Кроме того, благодаря расширяемости системы удостоверения личности предприятия скоро смогут выбирать из широкого диапазона решений независимых компаний. Эти решения будут совместимы с соответствующими технологиями настольных систем Windows, включая Vista User Account Control (UAC).
Виртуализация файловой системы и реестра
Многие унаследованные приложения не поддерживают учетные записи Standard User, но меняют реестр или файловую систему, что позволяет выполнять определенные задания или получать доступ к конкретным ресурсам. При попытке запуска таких приложений в системе Vista с ее изолированной файловой системой и реестром могут возникнуть трудности. Чтобы избежать проблем при установке и выполнении унаследованных приложений, создаются виртуализованные версии файловой системы и реестра.
В Vista все записи в файловую систему и реестр автоматически и незаметно переадресуются в локальные каталоги пользователей и не могут причинить вред всей сети. Например, если программа установки приложения осуществляет запись в C:Program Files, в Vista эта операция переадресуется в каталог VirtualStore в контексте текущей учетной записи пользователя. Для приложения эта операция записи протекает нормально, а для пользователя приложение оказывается в привычном месте. На многопользовательских системах у каждого пользователя есть изолированные локальные копии переадресованных файлов.
Виртуализация реестра работает аналогично. Vista виртуализует группу составляющих реестр файлов HKEY_LOCAL_MACHINESOFTWARE, и приложения, выполняющие сохранение данных конфигурации в общесистемные разделы реестра, переадресуются в новую структуру под HKEY_CLASSES_ROOTVirtualStoreMACHINESOFTWARE. Как и в случае виртуализации файлов, каждый пользователь системы имеет собственные копии данных конфигурации, которые в предшествующих версиях Windows сохранялись глобально.
Поскольку виртуализация файловой системы и реестра — временная мера, призванная обеспечить совместимость унаследованных программ с Vista, эта возможность предусмотрена только для 32-разрядных версий. Предполагается, что Vista-совместимые приложения будут следовать новым правилам для Windows-приложений. По мере переноса все большего числа приложений в новую среду разработки, в последующих версиях Windows разработчики постепенно откажутся от виртуализации файловой системы и реестра. Эта реализованная в Vista технология обеспечения совместимости —лишь временное решение.
Усовершенствованные возможности EFS
Хотя в версиях Vista Enterprise и Ultimate предусмотрен новый автоматизированный метод полного шифрования диска под названием BitLocker, в Windows долгое время действовала поддержка EFS для общего шифрования файлов и папок. В Vista поддержка EFS остается, но с усовершенствованными средствами безопасности, возможностями управления и более высокой производительностью.
В частности, теперь можно хранить пользовательские ключи EFS на смарт-картах, что повышает безопасность и удобство административного восстановления данных, защищенных системой EFS. Кроме того, поддерживается шифрование системных файлов подкачки и автономных копий файлов. Для упрощения управления EFS в Group Policy добавлены некоторые относящиеся к EFS возможности, включая требования применения смарт-карт для проверки пользователя, шифрования файла подкачки и всей структуры папки Documents для каждого пользователя.
Изоляция служб и рабочих процессов Windows
Для уменьшения общей поверхности атаки на компьютерах с системой Vista сокращено число запускаемых по умолчанию служб и предусмотрено их выполнение с минимальным уровнем привилегий. Кроме того, запуск всех служб теперь ограничивается локальной системой или локальной сетью, в отличие от предыдущих версий Windows, в которых полномочия служб не ограничивались компьютером, а распространялись более широко в соответствии с уровнем привилегий учетной записи, от имени которой они выполняются. Отдельные процессы также более ограничены, чем в предыдущих версиях Windows.
Изоляция служб и рабочих процессов, как и функция UAC и виртуализация файловой системы и реестра, использует низкоуровневые изменения в Windows, предусматривающие распределение по категориям и изоляцию объектов по уровням доверия (trust level). Новый компонент контроля целостности Windows, по сути, предохраняет процессы с низким уровнем привилегий от помех со стороны процессов с большими правами. В Vista уровни целостности преобладают над пользовательскими привилегиями. В частности, теперь вредоносные программы не могут выполняться с правами зарегистрированного пользователя, как в Windows XP. Теперь они запускаются только с уровнем целостности объекта, их породившего. Благодаря изоляции служб и рабочих процессов в Vista, вредоносные программы, успешно атакующие операционную систему, получают меньше возможностей для проникновения в другие части системы.
Vista имеет шесть уровней целостности:
-
Untrusted — редко используемый уровень только для анонимных входов в систему.
-
Low — уровень, применяемый для функций, имеющих отношение к Internet, включая Internet Explorer 7.0 и папку Temporary Internet Files.
-
Medium — уровень целостности, используемый по умолчанию для учетных записей Standard User и большинства файлов, генерируемых Windows.
-
High — уровень, используемый учетной записью Administrator в режиме с повышенными привилегиями. По умолчанию даже Administrator действует с привилегиями Standard User.
-
System — уровень, используемый большинством служб ядра и системы.
-
Installer — уровень, активизируемый только процедурами программы установки. Для обеспечения надлежащего выполнения процедуры удаления программы установки должны работать на более высоком уровне целостности, чем другие объекты системы.
Подпись драйвера
Хотя эта концепция была введена с появлением Windows 2000, подпись драйвера является обязательной только для 64-разрядной версии Vista. Все драйверы режима ядра в 64-разрядных версиях Vista должны иметь цифровую подпись, защищающую ядро операционной системы от воздействия плохо написанных программ. Подпись драйвера не является чистой функцией обеспечения безопасности и не может гарантированно защитить от драйверов, написанных целенаправленно для дискредитации Vista. Но поскольку подпись драйвера предотвращает фальсификацию и вносит гарантию подлинности в процесс установки драйверов, подписанные драйверы обычно характеризуются большей стабильностью и безопасностью по сравнению с их неподписанными аналогами, что в конечном счете повышает стабильность и защищенность операционной системы.
Защита 64-разрядных технологий
Vista включает ряд усовершенствованных и новых 64-разрядных функций обеспечения безопасности. Это означает, что теоретически 64-разрядные версии Vista защищены лучше, чем 32-разрядные. Однако стремление к безопасности следует соизмерять с реальными проблемами 64-разрядных технологий. На момент подготовки статьи у 64-разрядных версий Vista больше проблем в части аппаратной и программной совместимости, чем у 32-разрядных версий, поэтому, прежде чем переходить на 64-разрядные технологии, необходимо убедиться, что все будет работать правильно.
64-разрядные функции безопасности, включая Kernel Patch Protection («PathGuard»), также обсуждались ранее. С тех пор Microsoft под нажимом производителей продуктов по безопасности согласилась предоставить им API для получения программного доступа к ядру Vista, как это было с предыдущими версиями Windows.
Функция низкоуровневой защиты от вторжений из Internet, над которой в Microsoft велась работа на протяжении последнего года, получила название Address Space Layout Randomizer (ASLR). Эта технология, доказавшая свою эффективность на системах UNIX, случайным образом меняет адреса памяти структур данных Windows в ходе загрузки, что позволяет защититься от вредоносных программ, использующих фиксированные смещения адресов для осуществления атак с переполнением. Функция ASLR предусмотрена только для 64-разрядных версий Vista и требует активации функции Data Execution Protection.
Контроль устройств USB
Ввиду широкого использования устройств iPods и USB, в частности флэш-накопителей, системные администраторы часто опасаются, что USB-порты клиентских компьютеров станут местом утечки корпоративных данных. Кроме того, USB-устройства часто настолько малы, что легко теряются, а также могут переносить вредоносные программы. Чтобы предотвратить подобные неприятности, некоторые администраторы даже закрывают порты USB.
Для решения этой потенциальной проблемы в Vista предусмотрены новые возможности Group Policy, позволяющие администраторам блокировать установку и использование неправомочных устройств, включая запоминающие устройства USB и Firewire. Эти возможности могут применяться как к отдельным компьютерам, так и к группам систем. Можно даже выполнить тонкую настройку с указанием, какие из устройств блокируются. Например, можно запретить весь класс конкретных устройств (например, все USB-устройства), либо все съемные запоминающие устройства, либо блокировать или разрешить использование конкретных устройств. Можно даже управлять доступом с правом чтения и записи к съемным запоминающим устройствам для пользователя или компьютера.
Network Access Protection
Когда выйдет новая версия Windows Server под названием Longhorn, предприятия смогут применять ее вместе с Vista для реализации функции помещения в карантин — NAP. Эта функция, используя алгоритмы контроля соответствия требованиям, проверяет системы, подключенные к сети, и помещает в карантин те из них, которые не соответствуют требованиям политики. Находясь в карантине, «незаконопослушные» системы могут быть приведены в соответствие установленным требованиям путем загрузки всех обновлений системы безопасности и прочих функций, которые являются обязательными в рамках принятой политики. При этом «исправные» системы имеют нормальный доступ к корпоративной сети. В Vista включен NAP-клиент, а вместе с Longhorn будет выпущен NAP-клиент для XP SP2.
В заключение
Несомненно, Vista — самая защищенная из всех выпущенных версий Windows. Единственный вопрос — станут ли функции обеспечения безопасности Vista для большинства пользователей стимулом к быстрому переходу на эту операционную систему? По мнению Microsoft, именно так и будет. По моим прогнозам, предприятия перейдут на Vista быстрее, чем совершался переход на XP, и функции безопасности этой операционной системы — достаточное основание для незамедлительного перехода.
Поль Тюрро- редактор новостей в Windows IT Pro. Готовит еженедельные выпуски Windows IT Pro Update, а также ежедневные выпуски новостей WinInfo. thurott@win2000mag.com