‘Полнофункциональная’ публичная бета версия Windows 7 была выпущена 9 января, и ИТ индустрия преисполнилась шумихой об изменениях интерфейса, но что же творится внутри? Какие изменения были внесены в область ОС и ее сетевой безопасности? В этой статье мы рассмотрим функции безопасности Windows 7, а также зададимся вопросом, стоит ли чисто с точки безопасности переходить на новую версию операционной системы. Мы будем концентрировать свое внимание на изменениях, коснувшихся интерфейса управления безопасностью, изменениях в User Account Control, усовершенствовании BitLocker, также познакомимся с AppLocker и новой биометрической инфраструктурой (Biometric Framework).
Проблемы с безопасностью в Vista
В ответ на жалобы о том, что Windows была не безопасна, компания Microsoft сконцентрировала большую часть своего внимания на безопасности во время создания Windows Vista. Шифрование дисков BitLocker, родительский контроль, встроенная утилита против вредоносного ПО (Windows Defender), усовершенствования в брандмауэре Windows, Data Prevention Execution (DEP), защищенный режим IE, защита служб, новая функция управления цифровыми правами, обновление Crypto API, клиент Network Access Protection (NAP), усовершенствование Encrypting File System (EFS), политики ограничения софта и многие другие усовершенствования функций безопасности были представлены в Vista. Service Pack 1 добавил дополнительные усовершенствования в области безопасности, включая мультифакторную аутентификацию для BitLocker, перестроенный Random Number Generator (RNG), подписание файлов Remote Desktop Protocol (RDP), и т.д.
Однако функцией безопасности, которую быстрее всего заметили (и возненавидели) пользователи, стала функция User Account Control (UAC), посредством которой все учетные записи пользователей, включая учетные записи администраторов, запускаются в стандартном режиме по умолчанию и требуют повышения уровня прав в случае необходимости более высоких привилегий. Сама природа UAC, наряду с функцией Secure Desktop, которая блокировала доступ вредоносному ПО к компьютеру, требуя прав администратора и назойливо затемняя монитор, была основной жалобой по поводу Vista.
Команда разработчиков Windows 7 столкнулась с трудностью создания ОС, которая будет столь же безопасна, или даже более безопасна, чем Vista, но в то же время сделает безопасность более прозрачной для пользователей.
Итак, прощай Центр безопасности, привет Центр действий
Центр безопасности (Security Center), располагавшийся в панели управления и предназначавшийся для предоставления управления параметрами безопасности из одного места, использовался в Windows XP SP2, а затем в Vista. В Windows 7, добавлено еще больше централизации. Теперь центра безопасности больше нет, а на его место пришел новый Центр действий (Action Center). Здесь вы найдете оповещения, которые не только связаны с безопасностью, но и касающиеся обновлений Windows Update, диагностики, NAP, резервного копирования и восстановления, диагностирования и исправления проблем, как показано на рисунке 1.
Рисунок 1: Центр действий централизует многие задачи администрирования, включая безопасность
Более гибкие параметры UAC
В Vista можно было отключать UAC посредством групповой политики, но это было не очень хорошее решение, поскольку оно подвергало вас потенциальному риску атак. Вместо этого можно было устанавливать UAC на повышение уровня прав без запроса подтверждения, что было более удачной мыслью. Однако версии Home операционной системы Vista не включали редактора групповой политики, поэтому для выполнения данной задачи приходилось изменять системный реестр. Компания Microsoft упростила пользователям контроль над поведением UAC в Windows 7.
Заметка:ИТ администраторы вздохнут с облегчением, когда узнают, что пользователи не смогут изменять параметры UAC, не имея привилегий администратора.
В левой панели центра действий есть опция с названием User Account Control Settings. Поведение подсказок UAC настраивается посредством движущегося рычага, который имеет четыре положения:
Всегда оповещать (Always Notify): вы будете получать уведомление UAC во время установки ПО или внесении изменений в систему
Оповещать только когда программы пытаются внести изменения (Notify Only When Programs Try to Make Changes): вы будете получать уведомления только в том случае, если программа требует привилегии более высокого уровня, а не когда вы вносите изменения в параметры Windows (этот параметр используется по умолчанию)
Оповещать только когда программа пытается внести изменения (Не затемнять монитор – (Do Not Dim the Desktop)): то же, что и параметр по умолчанию, за исключением того, что функция Secure Desktop отключена во время оповещения
Никогда не оповещать (Never Notify): вы не будете получать уведомления ни при внесении изменений в параметры Windows, ни при установке ПО (не рекомендуется)
Рисунок 2: Этот слайдер позволяет вам более четко управлять оповещениями UAC в Windows 7
Усовершенствования BitLocker
BitLocker, включенный в версии Vista Enterprise и Ultimate, позволяет шифровать целые тома с помощью AES, либо используя Trusted Platform Module (TPM) чип, которым оснащены некоторые компьютеры, либо USB ключ. Это не позволяет загружать ОС или получать доступ к данным в зашифрованных разделах без авторизации (например, устанавливая различные элементы OС или их загрузку). Это особенно полезно для мобильных устройств, которые могут быть утеряны или украдены.
В Vista BitLocker изначально мог использоваться только для шифрования разделов, на которые была установлена ОС. Service Pack 1 добавил возможность шифрования нескольких дисков, но его нельзя было использовать для шифрования съемных носителей. В Windows 7, BitLocker был усовершенствован поддержкой шифрования портативных жестких дисков и флеш-карт. Это называется ‘BitLocker to Go’. Эту функцию многие компании очень долго ждали, поскольку хранение уязвимых данных на USB носителях стало очень популярным.
Заметка:можно настраивать политику, которая будет требовать того, чтобы носители были защищены с помощью BitLocker, прежде чем пользователи смогут записывать на них данные.
BitLocker управляется из панели управления, как показано на рисунке 3.
Рисунок 3: В Windows 7 у вас есть возможность использовать BitLocker шифрование на съемных и фиксированных носителях
Можно использовать кодовую фразу для разблокирования диска или смарт-карту и PIN, как показано на рисунке 4.
Рисунок 4: Когда вы шифруете диск с помощью BitLocker, можно использовать кодовую фразу или смарт-карту для разблокирования носителя
Можно также устанавливать ключ восстановления, чтобы использовать его для разблокирования носителя, если вы забыли кодовую фразу. Ключ восстановления можно сохранить в файл или распечатать и хранить в надежном месте (или и то, и другое). Может потребоваться время в зависимости от размера носителя. Шифрование 2 GB USB носителя заняло немногим более 9 минут в моей системе. Шкала прогресса будет информировать о продвижении процесса, как показано на рисунке 5.
Рисунок 5: Шкала прогресса информирует вас о выполнении процесса шифрования
Для дополнительной информации о BitLocker и BitLocker to Go в Windows 7 зайдите сюда.
AppLocker
Windows 7 имеет еще один «блокиратор»: AppLocker, который представляет собой новую функцию групповой политики. Она позволяет администраторам управлять версиями приложений, которые пользователи могут устанавливать и использовать. Это не позволяет пользователям устанавливать и запускать старые версии приложений, которые могут иметь уязвимости в безопасности.
В предыдущих версиях Windows использовалась политика Software Restriction Policies для управления тем, какие программы пользователи могут запускать. AppLocker является усовершенствованием такого контроля благодаря более простой настройке посредством трех типов правил: Путь (Path), Хэш-значение файла (File Hash) и Публикатор (Publisher). Правила Publisher заменяют правила сертификатов (Certificate Rules) в SRP, и дают вам больше гибкости и возможностей. Их также сложнее обойти.
Для дополнительной информации о AppLocker зайдите сюда.
Биометрическая инфраструктура (Biometric Framework)
В Vista, если вы хотели использовать отпечатки пальцев для входа в систему, вам нужно было использовать ПО производителей датчиков, считывающих отпечатки пальцев. Новая функция безопасности в Windows 7 под названием Biometric Framework, предоставляет собственную поддержку устройств считывания отпечатков пальцев и упрощает разработчикам задачу внедрения биометрической безопасности в своих приложениях. Вы найдете это новое приложение под названием Биометрические устройства (Biometric Devices) в панели управления. Оно используется для управления считыванием отпечатков пальцев, как показано на рисунке 6.
Увеличить
Рисунок 6: Можно управлять биометрическими устройствами из панели управления
Параметры можно настраивать на разрешение входа пользователей в Windows и/или в домен, используя биометрические данные, и для каждого пользователя можно задавать определенный палец.
Заметка:на момент написания этой статьи, сенсоры отпечатков пальцев являются единственными биометрическими устройствами, поддерживаемыми в Windows Biometric Framework.
Служба Windows Biometric Service (WBS) является частью инфраструктуры, управляющей устройствами считывания отпечатков пальцев и действующей в качестве I/O proxy между клиентскими приложениями и биометрическими устройствами, поэтому приложения не имеют прямого доступа к биометрическим данным. Это защищает конфиденциальность пользователей.
Для более подробной информации о WBS зайдите сюда.
Заключение
В Windows 7 компания Microsoft продолжила вложение усилий в создание более безопасных операционных систем, прислушиваясь к отзывам пользователей, говорящим о том, как должна работать система безопасности. Представители компании в то же время усовершенствовали некоторые функции безопасности предыдущих версий ОС с точки зрения пользовательского опыта, опыта администраторов и достигнутого уровня безопасности. Для большинства производственных пользователей и сетевых администраторов усовершенствования безопасности Windows 7 станут отличной причиной для перехода на данную ОС.