Что нового в области безопасности в Windows 7?

Опубликовано: 9 Апреля, 2023
Что нового в области безопасности в Windows 7?

Введение

Публичная бета-версия Windows 7 с полным набором функций была выпущена 9 января, и индустрия гудит комментариями об изменениях интерфейса, но что происходит под капотом? Какие были внесены изменения, которые повлияют на безопасность ОС и сети? В этой статье мы впервые рассмотрим функции безопасности Windows 7 и выясним, стоит ли обновление с точки зрения безопасности. Особое внимание мы уделим изменениям в интерфейсе управления безопасностью, изменениям в контроле учетных записей пользователей, усовершенствованиям BitLocker, внедрению AppLocker и новой биометрической платформе.

Проблемы с безопасностью Vista

В ответ на жалобы на то, что Windows небезопасна, Microsoft уделила большое внимание безопасности при создании Windows Vista. Шифрование диска BitLocker, родительский контроль, встроенная защита от вредоносных программ (Защитник Windows), улучшения в брандмауэре Windows, Data Prevention Execution (DEP), защищенный режим IE, усиление защиты служб, новые функции управления цифровыми правами, обновление Crypto API, клиент защиты доступа к сети (NAP), а также усовершенствования шифрованной файловой системы (EFS), политики ограниченного использования программ и множество других улучшений безопасности были представлены в Vista. Пакет обновления 1 добавил дополнительные улучшения, связанные с безопасностью, включая многофакторную аутентификацию для BitLocker, переработанный генератор случайных чисел (RNG), подпись файлов протокола удаленного рабочего стола (RDP) и многое другое.

Однако функция безопасности, которую пользователи заметили (и ненавидели) больше всего, — это контроль учетных записей (UAC), с помощью которого все учетные записи пользователей, включая учетные записи администраторов, по умолчанию работают в стандартном пользовательском режиме и запрашивают повышение прав, если требуются более высокие привилегии. Одной из главных претензий к Vista была «прямая» природа UAC, а также функция «Безопасный рабочий стол», которая предотвращает доступ вредоносного ПО к рабочему столу во время запроса прав администратора, а также раздражающе затемняет дисплей.

Задача команды разработчиков Windows 7 заключалась в том, чтобы сделать ОС такой же безопасной (или даже более безопасной), чем Vista, но при этом сделать безопасность более прозрачной для пользователей.

Итак, Центр безопасности, привет Центру действий

Центр безопасности, доступ к которому осуществляется через панель управления и который предназначен для централизованного управления параметрами безопасности, был представлен в Windows XP SP2 и перенесен в Vista. В Windows 7 централизация еще больше. Центр безопасности исчез, и его место занял новый Центр действий. Здесь вы найдете оповещения, связанные не только с безопасностью, но и с вопросами Центра обновления Windows, диагностики, защиты доступа к сети, резервного копирования и восстановления, а также устранения неполадок, как показано на рисунке 1.

Изображение 23872
Рис. 1. Центр уведомлений централизует многие административные задачи, включая безопасность

Более гибкие настройки UAC

В Vista вы могли отключить UAC с помощью групповой политики, но это было не лучшим решением, так как делало вас уязвимым для атак. В качестве альтернативы вы можете настроить UAC на повышение прав без запроса, что является лучшей идеей. Однако домашние версии Vista не включают редактор групповой политики, поэтому для этого вам пришлось отредактировать реестр. Microsoft упростила пользователям управление поведением UAC в Windows 7.

Примечание:
 ИТ-администраторы с облегчением узнают, что пользователи не смогут изменять настройки UAC, если у них нет прав администратора.

На левой панели Центра уведомлений есть параметр «Настройки контроля учетных записей». Поведение подсказок UAC настраивается с помощью ползунка, который дает вам выбор из четырех позиций:

  • Всегда уведомлять: вы получите запрос UAC при установке программного обеспечения или внесении изменений в систему.
  • Уведомлять только тогда, когда программы пытаются внести изменения: вы получите уведомление, если программа запрашивает повышенные привилегии, но не когда вы вносите изменения в настройки Windows (это значение по умолчанию)
  • Уведомлять, только когда программы пытаются внести изменения (не затемнять рабочий стол): то же, что и по умолчанию, за исключением того, что безопасный рабочий стол отключен во время запроса
  • Никогда не уведомлять: вы не получите уведомление ни при внесении изменений в настройки Windows, ни при установке программного обеспечения (не рекомендуется).

Изображение 23873
Рис. 2. Ползунок позволяет более точно управлять тем, как работает приглашение UAC в Windows 7.

Улучшение BitLocker

BitLocker, включенный в выпуски Vista Enterprise и Ultimate, позволяет шифровать целые тома с помощью AES либо с помощью чипа Trusted Platform Module (TPM), который поставляется на некоторых компьютерах, либо с помощью USB-ключа. Это предотвращает загрузку операционной системы или доступ к данным на зашифрованном томе без авторизации (например, путем установки другого экземпляра ОС и загрузки в него). Это особенно полезно для портативных систем, которые могут быть утеряны или украдены.

В Vista BitLocker изначально можно было использовать только для шифрования тома, на котором была установлена операционная система. Пакет обновления 1 добавил возможность шифрования нескольких фиксированных дисков, но ее нельзя было использовать для шифрования съемных дисков. В Windows 7 BitLocker был улучшен для поддержки шифрования портативных жестких дисков и устройств флэш-памяти. Это называется «BitLocker to Go». Это функция, которую хотели многие компании, поскольку хранение конфиденциальных данных на USB-накопителях стало популярным.

Примечание:
 Вы также можете применить политику, которая потребует, чтобы съемные диски имели защиту BitLocker, прежде чем пользователи смогут записывать на них данные.

BitLocker управляется с помощью апплета панели управления, показанного на рис. 3.

Изображение 23874
Рисунок 3. В Windows 7 вы можете использовать шифрование BitLocker как на съемных, так и на фиксированных дисках.

Вы можете использовать кодовую фразу для разблокировки диска или использовать смарт-карту и PIN-код, как показано на рисунке 4.

Изображение 23875
Рисунок 4. Когда вы шифруете диск с помощью BitLocker, вы можете использовать парольную фразу или смарт-карту, чтобы разблокировать его

Вы также можете настроить ключ восстановления, чтобы разблокировать устройство, если вы забудете парольную фразу. Ключ восстановления можно сохранить в файл или распечатать и хранить в надежном месте (или и то, и другое). Это может занять некоторое время, в зависимости от размера диска. Шифрование USB-ключа объемом 2 ГБ в моей системе заняло чуть более 9 минут. Индикатор выполнения будет информировать вас во время процесса, как показано на рис. 5.

Изображение 23876
Рисунок 5. Индикатор выполнения информирует вас о процессе шифрования.

Дополнительные сведения о BitLocker и BitLocker to Go в Windows 7 см. здесь.

AppLocker

Windows 7 получает еще один «шкафчик»: AppLocker, новую функцию групповой политики. Он позволяет администраторам контролировать версии приложений, которые пользователи могут устанавливать и использовать. Это позволяет запретить пользователям устанавливать и запускать более старые версии приложений, которые могут иметь дыры в безопасности.

Более ранние версии Windows использовали политики ограниченного использования программ, контролирующие, какие программы могут запускать пользователи. AppLocker улучшает это за счет более простой настройки с помощью трех типов правил: путь, хэш файла и издатель. Правила издателя заменяют правила сертификатов в SRP и предоставляют больше гибкости и возможностей. Их также сложнее обойти.

Дополнительные сведения об AppLocker см. в видеоролике здесь.

Биометрическая структура

В Vista, если вы хотели использовать вход в систему по отпечатку пальца, вам приходилось использовать программное обеспечение, предоставляемое поставщиком датчика отпечатков пальцев. Новой функцией безопасности в Windows 7 является Biometric Framework, которая обеспечивает встроенную поддержку устройств с отпечатками пальцев и упрощает для разработчиков внедрение биометрической защиты в свои приложения. Вы найдете новый апплет панели управления под названием «Биометрические устройства», который используется для управления отпечатками пальцев, как показано на рис. 6.

Изображение 23877
Рисунок 6. Вы можете управлять биометрическими устройствами с помощью апплета панели управления.

Настройки можно изменить, чтобы пользователи могли входить в Windows и/или в домен с помощью биометрии, и вы можете установить разные отпечатки пальцев для каждого пользователя.

Примечание:
 На момент написания этой статьи датчики отпечатков пальцев были единственными биометрическими устройствами, поддерживаемыми Windows Biometric Framework.

Биометрическая служба Windows (WBS) — это часть платформы, которая управляет считывателями отпечатков пальцев и действует как прокси-сервер ввода-вывода между клиентскими приложениями и биометрическим устройством, поэтому приложения не могут напрямую обращаться к биометрическим данным. Это защищает конфиденциальность пользователя.

Дополнительные сведения о WBS «под капотом» см. в официальном документе здесь.

Резюме

В Windows 7 Microsoft продолжила свои усилия по созданию более безопасной операционной системы, прислушиваясь к мнению пользователей о том, как безопасность должна работать за кулисами, а не бросаться вам в глаза. В то же время они улучшили некоторые функции безопасности по сравнению с предыдущими операционными системами с точки зрения взаимодействия с пользователем, администрирования и достигнутого уровня безопасности. Для большинства бизнес-пользователей и сетевых администраторов усовершенствования безопасности в Windows 7, скорее всего, сделают обновление стоящим.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023