В мире IT-технологий в последнее время часто обсуждалась новая функция в Windows 7 – “XP Mode” – в реализации новой версии Microsoft Virtual PC со свободнолицензированной виртуальной машиной XP, которую можно использовать для запуска старых приложений; однако как при этом обстоят дела с информационной безопасностью? В этой статье мы изучим и хорошие, и плохие моменты (с точки зрения безопасности), связанные с запуском этой ВМ на компьютере с Windows 7.
Что такое XP Mode
Для начала нужно осознать, что XP Mode – это не режим, в котором запускается Windows 7. Также это не что-то, встроенное в операционную систему. В действительности это совсем отдельное приложение, Windows Virtual PC, запускающее специальную виртуальную машину (файл .vmcx), предоставляемое компанией Microsoft. Особенность приложения состоит в том, что вам не нужно создавать ВМ и устанавливать операционную систему Windows XP; все уже сделано для вашего удобства. Более того, вам не нужно покупать лицензии для этого экземпляра XP; свободная загрузка уже лицензирована. Плохо то, что необходимо иметь Windows 7 издания Professional edition или Ultimate edition для использования функции, на Home Premium использовать ее вы не сможете.
Для работы с XP Mode нужно сначала загрузить и установить приложение Windows Virtual PC. Затем нужно загрузить Windows XP Mode VM. Во время написания статьи и то, и другое находятся в стадии release candidate, их можно загрузить с веб-сайта Microsoft’а .
Теперь вы можете устанавливать приложения для XP на ВМ XP (те, которые не запускаются под Windows 7), и они появятся в меню Start в Windows 7, как показано на Рисунке 1.
Рисунок 1: Приложения, устанавливаемые через ВМ XP, появляются в меню Start в Windows 7
Однако есть и еще более приятные вещи. Благодаря интеграции в Windows Virtual PC, они появляются на рабочем столе Windows 7, как будто они устанавливались на основной машине Windows 7. То есть, вам нет необходимости видеть рабочий стол виртуальной машины XP вообще (разве что вам просто захочется на него посмотреть). Как показано на Рисунке 2, если вы щелкните на приложение в меню Start в Windows 7, ВМ будет запущена в фоновом режиме, запуская при этом само приложение.
Рисунок 2: Windows Virtual PC открывает виртуализованное приложение XP
На Рисунке 3 вы видите старое приложение Corel PhotoPaint 10, запущенное в XP Mode на моем рабочем столе Windows 7, рядом с моим приложением для Windows 7 (IE8), и нет никакой разницы в способе взаимодействия с этими программами. Трудно полностью оценить такую гибкость интеграции, пока вы сами не попробуете работать в таком режиме.
Рисунок 3: Приложение под XP Mode запущено на рабочем столе Windows 7
Обратите внимание, что Windows Virtual PC не ограничивается запуском только ВМ в XP Mode. Вы также можете устанавливать другие гостевые операционные системы (Vista, Windows 7) и запускать под ними другие приложения. Это довольно хорошая возможность с точки зрения безопасности, как мы увидим ниже.
Есть ли проблемы в информационной безопасности при работе с XP Mode?
Вероятно, вы видели в Интернете заголовки, утверждающие, что XP Mode – «катастрофа с точки зрения безопасности». При этом часто цитируется технический директор компании Sophos Ричард Джейкобс (Richard Jacobs), который говорит следующее.
Джейкобс утверждает, что с XP Mode «Microsoft рискует всеми достижениями по линии информационной безопасности, полученными в последние несколько лет». Больше всего, по-видимому, Джейкобса беспокоит то, что XP Mode, в сущности, представляет собой отдельный логический компьютер, и поэтому не наследует настройки безопасности, ПО, обновления, отвечающие за безопасность, и т.д. основной машины Windows 7. Это, конечно, справедливо, но это справедливо и для любой гостевой операционной системы, запущенной в ВМ, и для любой основной машины. Другой недостаток Джейкобс видит в том, что компания Microsoft «не предоставляет средств для регулирования всего этого». Но тут, поскольку ВМ XP Mode в сети выглядит как отдельная машина, ей легко можно управлять тем же образом, как управляются в организации невиртуальные машины с Windows XP.
Джейкобс говорит, что если вы используете XP Mode, «вам придется управлять вдвое большим количеством компьютеров», и упрекает XP Mode в «увеличении сложности и стоимости работы». Действительно, вам может потребоваться установить антивирусное ПО на виртуальную ОС, однако он тут же упоминает, что «лицензирование – не проблема для продукции Sophos». Впрочем, в этом компания Sophos не оригинальна: и другие производители ПО требуют лицензии на свои продукты для каждой физической машины, а не для экземпляров ОС.
Как можно увеличить надежность XP Mode?
Здесь важно то, что XP Mode – не какая-та магическая «функция» в Windows 7. Это настоящий экземпляр Windows XP, запущенный на виртуальной машине, и именно так его нужно рассматривать в контексте вопросов безопасности. Когда вы это осознаете, для вас больше не будет «катастрофы с точки зрения безопасности», а будет просто несколько компьютеров с Windows XP. Поэтому для обеспечения безопасности сделайте следующее:
- Убедитесь в том, что на XP на ВМ установлено соответствующее антивирусное ПО. Локальное ПО на основной машине не защищает XP.
- Убедитесь в том, что на ВМ получены все необходимые обновления через автоматическое обновление или WSUS.
- Убедитесь в том, что все приложения, установленные на ВМ, при необходимости получают обновления от производителя.
- Отключите ненужные вам службы на ОС XP, запущенной на ВМ.
Короче говоря, вам стоит следовать инструкциям по безопасности из Windows XP Security Compliance Management Toolkit, здесь.
Для управления ВМ в режиме XP, измените сетевое поведение по умолчанию в ВМ XP с NAT на мостовое. Для изменения настроек откройте папку Virtual Machines (Start | All Programs | Windows Virtual PC | Virtual Machines), щелкните правой кнопкой на файл Virtual Windows XP .vmcx и выберите Settings. Откроется диалоговое окно (Рисунок 4).
Увеличить
Рисунок 4: Вы можете поменять настройки ВМ XP для обеспечения лучшей безопасности
Используйте MED-V для централизованного управления виртуальными машинами
Вопрос управления становится большой проблемой только тогда, когда у вас большое количество этих виртуальных машин. В больших компаниях можно развернуть Microsoft Enterprise Desktop Virtualization (MED-V) и Microsoft Application Virtualization (APP-V) для управления инфраструктурой виртуальных машин. MED-V является частью Microsoft Desktop Optimization Pack (MDOP). MED-V добавляет функциональность, позволяющую вам централизованно создавать, устанавливать и обновлять виртуальные образы в организации.
Используя MED-V, вы получаете структурированный контроль над ВМ в вашей организации. Вы можете контролировать, какие приложения будут доступны пользователям, управлять сетевыми настройками ВМ, аутентифицировать пользователей перед тем, как давать им доступ к ВМ, применять корпоративные политики и разрешения пользователям на ВМ, вы даже можете устанавливать сроки окончания действия ВМ, после которого ВМ будет недоступна для пользователей. Также можно производить мониторинг клиентской активности. Подробнее с MDOP и MED-V можно познакомиться здесь.
Для виртуализации приложений широкого масштаба, когда приложение не устанавливается на клиентском компьютере, в организациях можно развернуть Microsoft Application Virtualization (APP-V). Виртуализированные приложения передаются персональным компьютерам, ноутбукам и временным службам. Каждое приложение запускается в отдельной виртуализированной среде, но вы можете вырезать, вставлять и выполнять аналогичные операции между приложениями. Подробнее об APP-V можно узнать здесь.
Преимущества в области безопасности от XP Mode
Кроме широко обсуждаемых сложностей с безопасностью, также есть некоторые преимущества запуска приложений в виртуальной среде. В сущности, такие приложения можно отправить «в песочницу» от основной операционной системы, потому что они запускаются на отдельной ОС. Подробнее о безопасности с помощью виртуализации можно прочитать мою предыдущую статью на эту тему здесь.
Заключение
Много шумихи поднялось вокруг ‘XP Mode’ для Windows 7, много разговоров было о потенциальных угрозах безопасности. Оказалось, что в действительности это не волшебная палочка, дарящая абсолютною совместимость программам без каких-либо проблем с безопасностью, но это и не «кошмар с безопасностью», как некоторые уже обозвали его. ВМ XP Mode для Windows Virtual PC представляет собой полезный инструмент для запуска приложений на компьютере с Windows 7, несовместимых с новой ОС. При этом работа с такой виртуальной машиной, на которой запускается Windows XP, происходит таким же образом, как с любым «реальным» компьютером с Windows XP в сети.
Небольшие организации могут предпринимать меры по безопасности для таких ВМ индивидуально. Для корпораций Microsoft предлагает различные средства, например MED-V, для легкого централизованного управления ВМ, которые поддерживают «средства управления», отсутствующие в самом XP Mode.