Windows XP и Windows Vista

Следует обратить внимание, что UAC не поможет вам, если ваш компьютер уже заражен, и это еще одна причина, по которой рассматриваем глубину и степень защищенности.

Как я уже говорил выше, хотят помочь тем пользователям, которые хотели получить права администратора, чтобы сделать свою работу с системой столь же гибкой, но в то же время более защищенной, чем в Windows XP. Для этого сделали в UAC режим под названием «режим, одобренный администратором» (admin approval mode). В этом режиме (который по умолчанию включен для локальной группы администраторов) каждый пользователь с привилегиями администратора в основном работает как обычный пользователь, но когда система или приложение собираются выполнить действие, требующее прав администратора, пользователь должен запросить разрешение на это. В отличии от подобной функции в Unix, которая отключается после поднятия уровня доступа для пользователя, admin approval mode допускает использование привилегий только на время выполнения задачи, после чего автоматически возвращая пользователя к стандартному режиму.

Однако, следует отметить, что эта функция предназначена прежде всего для удобства администраторов и не является границей между процессами, с которыми они могут быть абсолютно изолированы. Если администратор выполняет множество задач на одном и том же рабочем столе, то вредоносная программа может соединять программу с высоким уровнем доступа с программой, не имеющей доступ к определенным ресурсам. Поэтому наиболее безопасной конфигурацией Windows Vista является схема работы, когда процессы выполняются в двух отдельных учетных записях, одна из которой (с правами администратора) выполняет доступные только ей действия, а другая (стандартная) – все остальные.

Когда мы начинали работать с admin approval mode для UAC, по умолчанию требовался ввод пользователем пароля (это было дополнением к последовательности Control-Alt-Delete (C-A-D), которая обсуждалась выше). Нужно было обеспечить и обратную применимость, когда для пользователей было удобнее заранее нажать C-A-D и ввести пароль, чем постоянное его набирать при каждом обращении. При этом снова возникал риск того, что пользователи будут выключать admin approval mode и далее использовать все административные привилегии без какой-либо защиты и предупреждений. Стало ясно, что использование admin approval mode ставило под угрозу безопасность системы, делало ее уязвимой. Но все равно, хотя система становилась менее ошибкоустойчивой, работа в admin approval mode все же лучше, чем в Windows XP. Хотя в admin approval mode и возможно требование пароля, но по умолчанию оно отключено. Это свойство может быть установлено конечным пользователем или установлено группой администрирования.

Другим хорошим примером противостояния удобства и защищенности является наша стратегия, касающаяся использования Data Execution Prevention (DEP) в Windows Vista. Если объяснить по-простому, DEP обрабатывает данные как данные, а код как код, и затем блокирует любое выполнения действий данными. Польза такого подхода в том, что, если в системе есть уязвимость, позволяющая переполнить буфер данных, то с DEP становиться сложнее выполнить вредоносный код, помещенный в буфер, так как он блокирует его выполнение и, тем самым, препятствует выполнению атаки. DEP для ядра включен по умолчанию и это является серьезной защитой для других частей системы (таких как Internet Explorer) и от переполнения буфера. Однако есть проблема: возможно добавление и хранение динамического кода от третьего лица в область данных, и DEP не может найти различия между добавляемыми данными и вредоносным кодом. Таким образом, вы либо получаете больше защиты, либо больше потенциальных проблем совместимости.

Обратите внимание, что вы можете включить DEP для всех программ и услуг. Естественно, это увеличит безопасность системы, но может вызвать некоторые проблемы совместимости приложений. Я, конечно же, рекомендую пользователям, работающим в сфере бизнеса, использовать DEP для всех программ и услуг. В некоторых случаях это необходимо, в других – нет. Опять компромисс!

Особенно трудно было с Internet Explorer, так как мы хотели, чтобы IE извлекал бы выгоду из защиты, предоставляемой DEP. Но до выпуска Windows Vista существовала проблема совместимости IE с дополнениями от третьих лиц, установка которых приводила к тому, что DEP для IE выключался по умолчанию. Однако, есть две хорошие новости. Во-первых, появилась возможность использования динамически получаемого кода, который может быть совместим с DEP (для этого требуется лишь добавить несколько новых строчек кода и обновить имеющийся). Мы ожидаем, что большинство производителей дополнений поддержат нас в этом. Во-вторых, Adobe, чьи программы-дополнения Acrobat и Flash Player раньше были несовместимы с DEP, объявила, что модифицировала свое программное обеспечение и исправила этот факт.

Таким образом, хотя это и не по умолчанию, вы можете включить DEP в IE для дополнительной защиты. Майкл Говард написал подробно в своем блоге о том, как включить DEP в IE на Windows Vista.

Лично я включил использование DEP на всех моих ПК, работающих под Windows Vista, и рекомендовал бы поступать также, если вы хотите усилить защиту. Я не обещаю, что все сайты будут работать, но при моей ежедневной эксплуатации, все работает хорошо. Через некоторое время, поскольку мы работаем со многими третьими фирмами, производящими программное обеспечение, я полагаю, что станет возможным включать DEP для всего остального ПО.

Как я уже говорил выше, мы все время улучшаем систему, что делает возможным для домашних пользователей и системных администраторов делать ее даже более безопасной, отключая принятые по умолчанию настройки, что было невозможно в предыдущих версиях Windows. Что же я могу посоветовать? Я распределю свои идеи на этот счет по категориям Хорошей, Лучшей и Наилучшей стратегии для домашних пользователей и корпоративных клиентов.

Для домашних пользователей

Хорошая стратегия: Делайте первую учетную запись пользователя родительской (на любой машине) и защитите ее хорошим паролем, принятым по умолчанию; эта первая учетная запись должна находиться в локальной группе администраторов и допускать использование режима одобрения администратором. Последующие учетные записи – особенно для детей – должны быть стандартными. Если обычный пользователь (например, ребенок) сталкивается с требование завершить администраторскую задачу, то администратор (например, мама или папа) может подтвердить разрешение на завершение этой задачи. С появлением сканеров отпечатков пальцев на большинстве портативных ПК, эта процедура сводится просто к сканирования пальца. Вы должны также осуществлять родительский контроль в Windows Vista, который помогает защитить и ограничить любые учетные записи от использования детей.

Лучшая стратегия: В дополнение к шагам «Хорошей стратегии», добавляется требование пароля от администратора, для поднятия уровня доступа, чтобы завершить задачу, выполняемую в admin approval mode. Это уменьшает возможность обмана системы и значительно усложняет действия человека, желающего завершить задачу admin approval mode на ПК, оставленном без присмотра, и не имеющего для этого достаточных прав. По умолчанию Windows Vista блокирует рабочий стол после определенного простоя (если, например, вы куда-то отошли и оставили компьютер), и если на учетной записи стоит пароль, то потребуется его ввод для входа в систему; вот почему мы рекомендуем, чтобы вы имели пароль на учетной записи из группы администраторов. Вы можете корректировать время бездеятельности перед выходом, чтобы оно было меньше при необходимости. Я также рекомендую, чтобы вы включили использование DEP для IE. В большинстве случаев, если у вас есть последние обновления от Adobe, у вас не будет много проблем. Вы можете отключить его в случае необходимости.

Наилучшая стратегия: Если вы очень заинтересованы в защите, то в дополнение к «Лучшей стратегии» требуется использование последовательности C-A-D для завершения администраторских задач. Это обеспечит дополнительную защиту для системы, когда на ней работает администратор или обычный пользователь нуждается в его согласии.

Для использования в сфере бизнеса

Хорошая стратегия: основным шагом является включение использования всеми пользователями admin approval mode, когда им это требуется для выполнения различных приложений. Это обеспечивает хороший обратный переход к стандартному пользователю, хоть и вызывает небольшую задержку в работе. (Обращаю внимание на то, что я настоятельно рекомендую для данной категории пользователей реализацию «Лучшей» и «Наилучшей стратегии»).

Лучшая стратегия: Требуйте, чтобы все пользователи были стандартными. Многие конечные пользователи должны быть переведены в категорию стандартных пользователей. Когда должно произойти повышение уровня доступа, нужно требовать C-A-D, прежде, чем администратор даст разрешение на завершение задачи. Также нужно, чтобы администраторы перевели разрешение на завершение процесса в admin approval mode. В случае домашнего пользователя, я рекомендую включить DEP для IE. Если различные приложения несовместимы с DEP, то постарайтесь найти последние обновления с исправлениями данной поблемы.

Наилучшая стратегия: Помимо изменения большинства пользователей на стандартных пользователей с C-A-D и паролем, требуемым от администратора для включения admin approval mode, нужно также предотвратить существование у конечных пользователей возможности завершать любые задачи, требующие повышения уровня доступа (например, программных установок или изменения конфигурации). Это лучше всего сделать организуя централизованное управление, включая групповую политику. Для осуществления локальных изменений, администратор может войти в отдельном сеансе (либо напрямую, либо с использованием Удаленного управления рабочим столом).

Истинным испытанием того, насколько безопасна любая система на практике, является ее тестирование в «открытом» режиме на качество архитектуры и кодов. Также важным является уровень применимости и удобства безопасности системы (если вы не закрываете дверь из-за того, что у вас сложный замок, то он не является надежным). Наша цель состоит в том, чтобы наиболее применимая конфигурация защиты системы (т.е. комбинация архитектуры, качества кода и применимости) была задействована по умолчанию. По этой причине мы идем на компромиссы, вместо установки жестких границ. Мы также знаем, что есть пользователи, которые, хотя и понимают все проблемы, которые возникнут при использовании системы, все же предпочитают более защищенный режим системы, нежели установленный по умолчанию. Для таких людей мы оставили возможность увеличить уровень защиты. Это надо учитывать, когда вы будете использовать Windows Vista, и кто-то обнаружит в ней определенные уязвимости. Следует понимать, что, скорее всего, это был преднамеренны выбор в пользу удобства использования и совместимости с приложениями, чем досадная оплошность.

Критика

•              Завышенные цены

•              По субъективному мнению многих пользователей, Vista работает несколько медленнее Windows XP. Некоторые действия, выполнявшиеся на XP мгновенно, на Vista производятся с заметной задержкой. Это показывают и объективные тесты] — лишь некоторые программы (скорее всего, многопоточные) на Vista работают быстрее. Обнаружились и ошибки в оболочке WV[11].

•              Была выброшена часть проверенного кода и написан новый (например, поддержка TCP/IP). По утверждениям Symantec и McAfee, это должно привести к уязвимостям — как минимум, первое время.

•              Windows часто критикуют за ущемления свободы, связанные с защитой премиум-контента от копирования (Protected Video Path)[14]. А именно:

Установка неподписанных драйверов запрещена. В Windows XP цифровая подпись означала «проверенность» и «стабильность» драйвера — пользователи могли ставить и неподписанные, а производители подписывали лишь важнейшие версии. В Vista же подпись — необходимое условие работы. В DDK есть ключ для подписывания, который позволяет драйверу работать, но полностью отключает проигрывание премиум-контента. В любом случае, требование подписанных драйверов несовместимо с разработкой открытых драйверов.

Microsoft оставляет за собой право отозвать драйвер в любой момент, если в нём будет найдена уязвимость. Если устройство старое, есть шансы, что производитель (или его правопреемник) не будет переписывать драйверы, и проигрывание будет недоступно (остальные функции не страдают). Постарадают от этого только рядовые пользователи, а никак не организованные пираты — найдя подходящую аппаратно-программную конфигурацию, они могут свободно расшифровывать видео на отключённом от интернета компьютере.

Чтобы защита работала, все устройства, связанные с проигрыванием, должны быть допущены Microsоft. Часть требований: прежде чем быть допущенным к проигрыванию, устройство должно пройти особый тест (Hardware Functionality Scan), расшифровка должна происходить на самих устройствах, а на незащищённых каналах (DVI без HDCP, VGA, S/P-DIF) на звук и видео должны накладываться помехи.

Из-за подобных требований к аппаратному обеспечению платить будут даже те, кто не использует Vista — в любом случае, аппаратное обеспечение должно стать более дорогим, а архитектура — более закрытой (а значит, ниже шансы, что будет написан драйвер для других ОС).

По этой же причине запрещены резидентные антивирусы в нулевом кольце защиты. Единственная антивирусная программа, обладающая подобной привилегией — неотключаемый Windows Defender.

•              Есть старое программное обеспечение, которое несовместимого с Windows Vista

•              Интерфейс Aero критикуют за неотличимость текущего окна от всех остальных

Следует заметить, что критика WV иногда заходит настолько далеко, что ей приписывают совершенно фантастические функции, такие как детекцию несанкционированного копирования по изображению на экране.

Windows Vista на ноутбуке – преимущества и недостатки

Microsoft объявила о том, что 30 ноября будет анонсирована бизнес-версия Windows Vista, а другие версии появятся в начале 2007 года. Так что уже настало время планировать дальнейшие шаги. В нашей статье мы попробуем обосновать, почему стоит переходить на Vista, а также дадим советы по поводу того, стоит ли модернизировать существующее "железо" и какое новое покупать.

Microsoft Windows Vista будет поставляться в пяти версиях: Home Basic, Home Premium, Business, Enterprise и Ultimate. Кроме настольных ПК, Vista сможет работать на ноутбуках. Кроме того, она же будет использоваться на планшетных ПК (Tablet PC) и ультра-портативных ПК (Ultra Mobile Personal Computers). Так что придётся выбирать между разными версиями и мобильными платформами. В данной статье мы попытаемся ответить на следующие вопросы.

•              В чём состоят преимущества Vista для ноутбуков?

•              Нужно ли модернизировать свой ноутбук или покупать полностью новую модель?

Windows Vista: преимущества для ноутбуков

Vista несёт большое количество новых функций. Ниже представлены функции, которые особенно ценны для пользователей ноутбуков.

Безопасность

Мобильные компьютеры особенно подвержены рискам, поскольку они эксплуатируются часто за пределами защищённого бизнес-окружения или дома. Поэтому от Vista вполне справедливо ожидать улучшений в этом направлении.