Первый взгляд на Windows Vista: наконец-то безопасно?

Опубликовано: 12 Апреля, 2023

Философия безопасности Vista

На прошлой неделе на глобальном саммите MVP в Редмонде у меня была возможность услышать от ряда инсайдеров Microsoft, парней, которые фактически написали код, об их целях и философии при создании новой ОС и таких компонентов, как Internet Explorer 7.0. Меня воодушевило то, что я услышал: концепция глубокоэшелонированной защиты постоянно всплывала снова и снова. Многоуровневая безопасность — единственный способ обеспечить реальную защиту, и намерение MS внести фундаментальные изменения в архитектуру для поддержки этого типа защиты даст Vista большое преимущество в плане безопасности по сравнению со старыми операционными системами Windows.

Еще одна философская позиция, которую мы часто слышим от сотрудников MS, связана с «интеграцией периферии» или идеей, что Интернет — это сеть. Это согласуется с широко разрекламированной концепцией «смерти демилитаризованной зоны», провозглашенной Стивом Райли, одним из старших менеджеров программ в подразделении безопасности Microsoft (вы можете загрузить презентацию Стива на эту тему с его веб-сайта по адресу http://www. steveriley.ms/default.aspx). Эта тема в той или иной форме прослеживалась во многих презентациях MS.

Взятые вместе, эти принципы указывают на совершенно новый взгляд на безопасность, который включает в себя такие стратегии, как изоляция серверов и доменов и обеспечение защиты доступа к сети (NAP). Еще одно большое внимание уделяется аутентификации и управлению удостоверениями. Мы видим это везде, от предлагаемых технологий защиты от спама, таких как Sender ID, до продуктов уровня предприятия/федерации, таких как MIIS. Мы также видим это в улучшении Vista таких технологий, как IPsec и лучшей поддержке смарт-карт.

Запуск с наименьшими привилегиями

На саммите постоянно возникал вопрос: «Вы работаете от имени администратора на своем рабочем столе?» Большинство опрошенных, от ИТ-специалистов до руководителей MS, ответили (иногда застенчиво) «да». И для этого есть веская причина — с операционными системами до Vista трудно что-либо сделать, если вы не входите в систему как администратор. Vista решает эту проблему двумя способами:

  • Упрощая для неадминистраторов выполнение необходимых задач, таких как установка принтеров и обновлений приложений, настройка VPN и т. д. в определенных контекстах, и
  • Запуская большинство приложений с ограниченными правами, даже если вы входите в систему как администратор.

В течение многих лет Windows проигрывали UNIX с точки зрения безопасности. UNIX, в отличие от Windows, с самого начала разрабатывалась как сетевая ОС и уже давно имеет здравые функции безопасности, такие как запуск процессов с минимальными привилегиями. Microsoft применяет ту же идею в Vista и называет ее защитой учетных записей пользователей или UAP. Эта функция подробно описана в статье Дерека Мелбера под названием Windows Vista и принцип наименьших привилегий, поэтому мы не будем вдаваться в подробности того, как она работает, но это важное улучшение возможности запуска от имени в Windows XP.

Больше встроенных защит

На рынке представлено множество сторонних продуктов, предназначенных для защиты от конкретных угроз (вирусы, шпионское ПО, атаки). Для корпоративных клиентов возможность выбора из этих продуктов является преимуществом. Однако для домашних пользователей и пользователей малого бизнеса это дополнительные расходы, которые многие из них не могут себе позволить. Им нужна защита, встроенная в операционную систему.

В результате в XP/2003 был включен сетевой брандмауэр, а в Vista Microsoft пошла еще дальше и включила возможность очистки от многих вирусов и червей, а также встроенный антишпионский компонент. Для упрощения управления эти функции будут интегрированы в интерфейс Центра безопасности.

Хотя детали версии антишпионского ПО, которое появится в Vista, все еще находится под соглашением о неразглашении, мы знаем, что оно станет частью общей стратегии снижения угроз, направленной на трехсторонний подход к защите клиента, сервера и сети. Бета-версия 1 антишпионского ПО от Microsoft, созданная на основе технологии Giant, стала чрезвычайно популярной загрузкой и уже имеет миллионы пользователей. Это хорошее начало, но в бета-версии 2 появятся серьезные улучшения.

Защита сети

В рамках трехэтапного подхода, упомянутого ранее, разработчики Vista не заботились исключительно о защите компьютера с Vista от сети — они также заботились о защите сети от компьютера с Vista. Компонент защиты доступа к сети (NAP) в Vista состоит из агента, который сообщает о состоянии работоспособности клиента Vista на сервер NAP (компонент, входящий в состав сервера Longhorn).

Это дает администраторам возможность отказывать в доступе к клиентским компьютерам, которые не соответствуют их стандартам (например, с установленными текущими пакетами обновлений и обновлениями безопасности, с включенным и обновленным антивирусным программным обеспечением и т. д.).

NAP похож на карантинный контроль доступа к сети в Windows Server 2003, но это другая технология, которая расширяет возможности защиты еще на один шаг. NAQC используется для обеспечения соблюдения политик работоспособности на клиентах удаленного доступа и VPN, но NAP может делать это, а также применять политики на компьютерах, напрямую подключенных к локальной сети, включая мобильные компьютеры, которые периодически подключаются к локальной сети. Как и в случае с NAQC, компьютеры, не соответствующие требованиям, изолированы в сети с ограниченным доступом, где они могут быть автоматически обновлены в соответствии с вашими требованиями.

Карантин может предоставляться через ряд различных сетевых компонентов (отдельно или совместно друг с другом):

  • DHCP, в котором сервер DHCP (на котором запущен компонент сервера принудительного карантина DHCP) применяет политики, когда клиенты арендуют или обновляют IP-адрес (только IPv4).
  • VPN, в которой VPN-сервер (на котором работает VPN QES) применяет политики к клиентам, пытающимся подключиться к сети через виртуальную частную сеть.
  • 802.1x, который использует сервер Internet Authentication Service (IAS) для применения политик к беспроводным клиентам.
  • IPsec, который использует сервер сертификатов работоспособности, выдающий сертификаты x.509, используемые для аутентификации клиентов NAP, когда они пытаются установить защищенное с помощью IPsec соединение с другими клиентами NAP в интрасети.

NAP настраивается таким образом, что администраторы могут создавать исключения из правил политики, а также включает API-интерфейсы, позволяющие сторонним разработчикам создавать решения для обеспечения соответствия политикам и изоляции, которые работают с NAP.

Резюме

Это лишь некоторые из улучшений безопасности, которые появятся в Vista. На многие из них по-прежнему распространяется NDA, но то, что мы видели до сих пор, выглядит многообещающе, и мы будем держать вас в курсе здесь, когда больше информации будет официально обнародовано.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023