Ключові аспекти безпеки Windows Vista

Наша взаимовыгодная связь https://banwar.org/

БЕЗПЕКА

Вихід Windows Vista викликав цілком природний сплеск публікацій з приводу цієї операційної системи, в яких зараз явно переважає тема безпеки (див. Добірку матеріалів в PC Week / RE, N 3/2007, с. 13-). Воно й зрозуміло: не дивлячись на безліч функціональних нововведень ОС, в сучасному світі саме проблема безпеки виходить на передній план. Чи відповідає система захисту Vista нинішнього рівня загроз? Дане питання є сьогодні першочерговим, коли приймається рішення про перехід на нову клієнтську платформу (рис. 1), особливо для корпоративних користувачів.

Мал. 1. Оцінка (%) рівня різного типу загроз на думку замовників

Втім, такий інтерес пояснюється ще й тим аспектом, що, випустивши цю систему, Microsoft вторглася в сферу діяльності компаній, що спеціалізуються на створенні засобів безпеки. Як складатимуться взаємини корпорації з традиційними партнерами, які тепер багато в чому позиціонуються вже як конкуренти? Саме це питання так чи інакше читається в більшості публікацій про плюси і мінуси засобів захисту в Windows Vista.

Основні елементи безпеки Vista

Однак щоб краще розібратися в коментарях незалежних авторів з цього питання, давайте подивимося, як сама Microsoft бачить основні підходи до забезпечення безпеки в своїй новій ОС. Тут виділяються чотири основні групи засобів і технологій:

- базові технології;

- зменшення загроз і вразливостей;

- ідентифікація і управління доступом;

- захист інформації.

Ясно, що фундамент безпеки визначається не тільки архітектурними рішеннями, але і їх практичною реалізацією, якістю процесу розробки, спрощено кажучи - мінімізацією числа помилок програмування, через які з'являються лазівки для проникнення в систему. Тому створення Vista велося на базі "безпечного" циклу розробки (Security Development Lifecycle, SDL), націленого на зниження числа помилок у вихідному коді системи. SDL об'єднує всі етапи розробки ПО (проектування, кодування, тестування) і включає наступні основні аспекти:

- обов'язкові регулярні тренінги розробників з питань безпеки;

- призначення радників з безпеки для кожного компонента;

- моделювання загроз як частина фази проектування;

- огляди безпеки і тестування за планом;

- індикатори ефективності безпеки для груп розробки.

Серйозні зміни були проведені і в технологічному плані, в тому числі на рівні архітектури і ядра. Тут в першу чергу потрібно відзначити зміцнення Windows-сервісів, що має на увазі:

- профілювання сервісів для роботи з мережею, файлової системою і реєстром;

- за замовчуванням запуск сервісів з меншими привілеями, ніж в Windows XP;

- блокування спроб шкідливого ПО здійснювати від імені сервісів дії і використовувати ресурси.

Важливу роль тут відіграють функція PatchGuard, що виконує моніторинг змін в таблицях сервісів і дескрипторах ядра системи, а також режим Mandatory Kernel Mode & Driver Signing, що дозволяє перевірити наявність цифрового підпису у будь-якого модуля або драйвера рівня ядра.

Значна частина подібних проблем пов'язана з використанням Інтернету і тому вирішується в новому браузері Internet Explorer 7, в якому варто виділити дві можливості:

- захист від соціальної інженерії (фішинг-фільтр, повідомлення про небезпечні установках, умовчання для International Domain Names та ін.);

- захист від проникнень (уніфікація розбору URL, поліпшення якості коду, технологія ActiveX Opt-in, підтримка захищеного режиму і т. Д.).

В ОС включений також оновлений мережевий екран Windows Firewall, який повинен забезпечити безпечний доступ до мережі, в тому числі за рахунок аутентифікації і авторизації всіх з'єднань, застосування захищених протоколів роботи (DHCP, VPN, IPsec, 802.1X) і доступу на базі політик, що конфігуруються системними адміністраторами.

Microsoft вперше включила в Vista інтегровані технології захисту від зовнішніх загроз. Правда, безпосередньо в систему увійшов тільки Windows Defender, призначений для боротьби зі шпигунським ПО (Spyware). Інший засіб - Microsoft OneCare для захисту від вірусів і інших погроз - реалізовано у вигляді окремого платного інтернет-сервісу.

Що стосується управління доступом, то тут в першу чергу потрібно відзначити механізм User Account Control (контроль за правами користувачів), який повинен підвищити безпеку в разі застосування розширених повноважень при роботі з бізнес-додатками і при виконанні завдань по конфігурації ОС. Так, отримавши команду на виконання дії, що не входить в список повноважень "стандартної" облікового запису, система запитує у користувача або підтвердження команди (якщо користувач - "Адміністратор", див. Рис. 2), або пароль адміністратора (якщо користувач - "Стандартний "). У повноваження "стандартного користувача" не входять такі дії, як мові програмування і драйверів, створення файлів в системних директоріях, зміна налаштувань системи і т. Д.

Мал. 2. Запит на підтвердження дії користувача

Поліпшення аудиту системи забезпечується за рахунок більш високої деталізації параметрів управління і використання великої кількості підкатегорій. У Vista застосовується нова архітектура аутентифікації, яка, зокрема, дозволяє працювати з різними біометричними пристроями та одноразовими паролями, знижуючи при цьому витрати на кодування. Модифікований і механізм застосування смарт-карт в режимі plug and play (відповідні драйвери і Certificate Service Provider включені в комплект ОС).

Головне нововведення Vista в забезпеченні захисту інформації від неавторизованих користувачів і викрадачів - механізм шифрування диска BitLocker Drive Encryption. При цьому можливі різні варіанти зберігання ключів: TPM-чіп, USB Flash, PIN-код, а також їх різні комбінації. Для підтримки політик безпеки при поширенні документів в системі пропонується використовувати модернізований механізм управління правами доступу до інформації (Information rights management).

Чи достатньо цього сьогодні?

Тепер, коли перераховані основні компоненти системи безпеки Vista, можна повернутися до питання, поставленого на початку статті: чи адекватний рівень захисту ОС існуючим сьогодні загрозам? Тут саме час сказати, що серед ІТ-спеціалістів здавна побутує уявлення про не дуже високого ступеня захищеності Windows в порівнянні, скажімо, з Linux. В якості аргументу зазвичай наводяться відомості про безліч "дірок", які виявляються в цій ОС, а також про великий рівень втрат, що наносяться в результаті хакерських або вірусних атак.

Однак цілеспрямовані дослідження цього питання (пошлюся, наприклад, на думку IDC, висловлене ще чотири роки назад) виявляють принципових відмінностей між тими ж Windows і Linux за кількістю помилок в сфері безпеки. А більш високий рівень помилок, які виявляються в Windows, визначається тим простим фактом, що ця система - найпоширеніший продукт, проти якого спрямовані основні зусилля "злочинного" ІТ-світу.

Як відомо, немає такої системи захисту, яку не можна було б подолати, і питання полягає лише в трудомісткості "злому". Відповідно користувачі повинні чітко розуміти рівень безпеки, що реалізується тим чи іншим засобом. В цьому плані засоби безпеки можна умовно розділити на дві категорії:

- технології і вбудовані ІТ-рішення масового застосування - вони забезпечують певний середній (за мірками теперішнього моменту часу) рівень безпеки, затребуваний "середнім" користувачем;

- розширені спеціалізовані технології, пропоновані розробниками для забезпечення більш високого рівня безпеки.

Windows - наймасовіший продукт, і тому вона включає технології захисту першої групи. Звичайно, від версії до версії рівень безпеки в ній підвищується, з'являються функції, які раніше вимагали спеціальних засобів, але навряд чи від неї варто очікувати можливостей, реалізованих в професійних інструментах. Головне тут - не випустити з уваги обмеження, наявні у вбудованих технологіях безпеки Windows Vista, щоб споживач усвідомлював їх реальні можливості і в разі потреби використовував інструменти захисту від незалежних постачальників (за додаткову плату!).

Тут потрібно, звичайно, брати до уваги думки різних експертів в області безпеки, хоча назвати їх незалежними, повністю об'єктивними все ж навряд чи можна. З огляду на це має сенс, зокрема, познайомитися з матеріалами про систему безпеки Windows Vista, опублікованими на інформаційному сайті "Лабораторії Касперського" (www.viruslist.com).

Зокрема, в статті Аліси Шевченко "Microsoft Vista проти вірусів: хто кого?" (Www.viruslist.com/ru/analysis?pubid= 204007521) розглядаються можливості захисту, реалізовані в механізмах User Account Control, PatchGuard, Mandatory Kernel Mode & Driver Signing і IE 7 Protected mode. На думку автора, ці кошти часто не здатні відрізнити роботу звичайних додатків від дії шкідливих програм. В результаті не виключена ситуація, коли користувач буде постійно отримувати попередження при нормальній роботі додатків і тому швидше за все просто відключить відповідну функцію захисту. Втім, таке відключення допустимо зробити і програмним способом, ніж можуть скористатися і віруси. Інша проблема полягає в тому, що, не маючи доступу до ядра (мова йде про функції PatchGuard), незалежні розробники засобів безпеки не можуть реалізувати в своїх продуктах частина функціоналу - наприклад, ефективно використовувати проактивні технології захисту від невідомих загроз.

Загальний висновок експерта з "Лабораторії Касперського" виглядає так. Безумовно, Vista істотно безпечніше, ніж попередні системи Microsoft. Більш того, налаштована так, що в ній заборонено все, крім доступу до певних сайтів, дана ОС може навіть вважатися "абсолютно безпечною". Однак для багатьох користувачів будуть неприйнятні значні обмеження, а також постійні запити на підтвердження дій, розпізнаних Vista як "потенційно небезпечні". Коротше кажучи, потрібно завжди пам'ятати, що людина - слабка ланка будь-якої системи безпеки.

Версія для друку

Посилання на цю статтю: [URL = http: //www.pcweek.ru/themes/detail.php? ID = 82148] Ключові аспекти безпеки Windows Vista [/ URL]
Сподіваюся багатьом буде цікаво.

Тільки зареєстровані користувачі можуть залишати коментарі.