Windows 7 «Режим XP»: каковы последствия для безопасности?
Введение
В ИТ-мире было много разговоров о новой функции «Режим XP» в Windows 7 — реализации новой версии Microsoft Virtual PC с бесплатной лицензированной виртуальной машиной XP, которую можно использовать для запуска старых приложений — но что последствия для безопасности? В этой статье мы рассмотрим как положительные, так и отрицательные стороны (с точки зрения безопасности) запуска этой специальной виртуальной машины на вашем компьютере с Windows 7.
Объяснение режима XP
Во-первых, важно понимать, что, несмотря на свое название, «Режим XP» не является режимом, в котором работает Windows 7. Это не то, что встроено в операционную систему. На самом деле это отдельное приложение Windows Virtual PC, работающее на специальной виртуальной машине (файл.vmcx), предоставленной Microsoft. Его особенность в том, что вам не нужно создавать виртуальную машину и устанавливать операционную систему XP; все это делается для вас. Еще одна хорошая новость: вам не нужно покупать лицензию для этого экземпляра XP; бесплатная загрузка уже лицензирована. Плохая новость заключается в том, что для его использования вам понадобится Windows 7 Professional или Ultimate Edition; он не работает в версии Home Premium.
Первым шагом в запуске «Режима XP» является загрузка и установка приложения Windows Virtual PC. Затем вы загружаете виртуальную машину Windows XP Mode. На момент написания этой статьи оба продукта находились на стадии кандидата на выпуск, и их можно было загрузить с веб-сайта Microsoft.
Теперь вы можете устанавливать приложения XP на виртуальную машину XP — приложения, которые не работают в Windows 7, — и они появятся в меню «Пуск» Windows 7, как показано на рис. 1.
Рис. 1. Приложения, которые вы устанавливаете на виртуальной машине WVPC, отображаются в меню «Пуск» Windows 7.
Но это даже не самая крутая часть. Благодаря функции интеграции в Windows Virtual PC они отображаются на рабочем столе Windows 7, как если бы они работали на хост-компьютере Windows 7. То есть вам вообще не обязательно видеть рабочий стол XP виртуальной машины — если вы этого не хотите. Как показано на рис. 2, если щелкнуть приложение в меню «Пуск» Windows 7, оно инициализирует виртуальную машину в фоновом режиме и открывает само приложение.
Рисунок 2: Windows Virtual PC открывает виртуализированное приложение XP
На рисунке 1 вы можете видеть старое приложение Corel PhotoPaint 10, работающее в «режиме XP» на моем рабочем столе Windows 7, прямо рядом с моим приложением Windows 7 (IE8), и нет никакой разницы в том, как пользователь взаимодействует с ними. Эту бесшовную интеграцию трудно полностью оценить, пока вы не увидите ее в действии.
Рисунок 3: Приложение «Режим XP», работающее на рабочем столе Windows 7
Обратите внимание, что Windows Virtual PC не ограничивается запуском виртуальной машины «XP Mode». Вы можете установить другие гостевые операционные системы (Vista, Windows 7) и запускать из них интегрированные приложения. Это может быть хорошей функцией безопасности, о чем мы поговорим чуть позже.
Является ли «Режим XP» проблемой безопасности?
Вы, наверное, видели заголовки в Интернете, провозглашающие, что режим XP — это «катастрофа безопасности». Технический директор Sophos Ричард Джейкобс неоднократно цитировал именно это в своем блоге.
Джейкобс говорит, что режим XP «рискует свести на нет большую часть прогресса, достигнутого Microsoft в области безопасности за последние несколько лет». Большая жалоба Джейкобса, похоже, заключается в том, что режим XP по сути является отдельным логическим компьютером и, следовательно, не использует общие настройки безопасности хоста Windows 7, программное обеспечение безопасности, исправления и так далее. Это верно, конечно, но это верно для любой гостевой ОС, работающей на виртуальной машине на любом хосте. Другая жалоба Джейкобса заключается в том, что Microsoft «не предоставила инструментов, помогающих управлять всем этим». Конечно, поскольку виртуальная машина режима XP отображается в сети как отдельная машина, ею можно управлять так же, как организации управляют своими не виртуальными машинами с Windows XP.
Джейкобс говорит, что если вы используете режим XP, «теперь вы управляете вдвое большим количеством компьютеров, чем раньше», и считает, что режим XP «увеличивает стоимость и сложность». Вам действительно может понадобиться установить антивирусное программное обеспечение на виртуальную ОС, но он быстро указывает, что «лицензирование не является проблемой для продуктов Sophos». Sophos не уникален в этом; другие поставщики также лицензируют свое программное обеспечение для обеспечения безопасности на основе физических машин, а не экземпляров ОС.
Как сделать «Режим XP» более безопасным?
Вывод здесь заключается в том, что «Режим XP» — это не волшебная «функция» в Windows 7. Это реальный экземпляр Windows XP, работающий на виртуальной машине, и с ним следует обращаться как с таковым в целях безопасности. Пока вы это понимаете, это не более «катастрофа безопасности», чем наличие целого здания с компьютерами под управлением Windows XP. Чтобы сделать его безопасным, сделайте следующее:
- Убедитесь, что на виртуальной машине XP установлено соответствующее антивирусное/антивредоносное программное обеспечение. Локальное программное обеспечение безопасности на хост-компьютере не защищает его.
- Убедитесь, что виртуальная машина получает все обновления безопасности XP с помощью автоматических обновлений или WSUS.
- Убедитесь, что все приложения, установленные на виртуальной машине, при необходимости получают обновления поставщика.
- Отключите ненужные службы в ОС XP, работающей на виртуальной машине.
Короче говоря, вы должны следовать всем рекомендациям по безопасности в наборе средств управления соответствием требованиям безопасности Windows XP.
Чтобы управлять виртуальными машинами в режиме XP, измените сетевое поведение по умолчанию в виртуальной машине XP с NAT на мост. Чтобы изменить настройки, откройте папку «Виртуальные машины» (Пуск | Все программы | Windows Virtual PC | Виртуальные машины), щелкните правой кнопкой мыши виртуальную Windows XP. vmcx и выберите «Настройки». Откроется диалоговое окно, показанное на рисунке 4.
Рисунок 4. Вы можете изменить настройки виртуальной машины XP для повышения безопасности
Используйте MED-V для централизованного управления виртуальными машинами
Проблема управления становится реальной проблемой только при наличии большого количества виртуальных машин. Крупные компании могут развернуть Microsoft Enterprise Desktop Virtualization (MED-V) и Microsoft Application Virtualization (APP-V) для управления инфраструктурой виртуальных машин. MED-V является частью пакета Microsoft Desktop Optimization Pack (MDOP). В MED-V добавлены функции управления, позволяющие централизованно создавать, развертывать и обновлять виртуальные образы по всему предприятию.
С MED-V у вас есть детальный контроль над виртуальными машинами в вашей организации. Вы можете контролировать, какие приложения XP будут доступны пользователям, управлять сетевыми настройками виртуальных машин, аутентифицировать пользователей перед предоставлением доступа к виртуальным машинам, применять корпоративные политики и разрешения на использование к виртуальным машинам, даже устанавливать даты истечения срока действия для виртуальных машин, после которых они больше не будут быть доступным для пользователя. Действия клиентов можно контролировать централизованно. Узнайте больше о MDOP и MED-V здесь.
Для крупномасштабной виртуализации приложений, когда приложения не устанавливаются на клиентском компьютере, организации могут развернуть виртуализацию приложений Microsoft (APP-V). Виртуализированные приложения передаются на настольные компьютеры, ноутбуки и серверы терминалов. Каждое приложение работает в отдельной виртуализированной среде, но вы по-прежнему копируете, вставляете и выполняете аналогичные операции между приложениями. Узнайте больше о APP-V здесь.
Преимущества безопасности режима XP
В дополнение к проблемам безопасности, которые широко обсуждались, существуют также преимущества безопасности для запуска приложений в виртуальной среде. Эти приложения, по сути, могут быть «изолированы» от основной операционной системы, потому что они работают в отдельной ОС. Подробнее о безопасности с помощью виртуализации см. мою предыдущую статью на эту тему здесь.
Резюме
Было много шумихи вокруг «Режима XP» для Windows 7, и много FUD (страх, неуверенность и сомнения) распространились по поводу его потенциальных последствий для безопасности. На самом деле, это не волшебная пуля, дарующая мгновенную совместимость приложений без необходимости думать о безопасности, и не «кошмар безопасности», как некоторые называют это. Виртуальная машина XP Mode для Windows Virtual PC — это полезный инструмент для запуска приложений на рабочем столе Windows 7, которые не будут запускаться непосредственно в новой ОС. При этом он использует невидимую базовую виртуальную машину с экземпляром Windows XP, которая должна быть защищена так же, как и любой «настоящий» компьютер с Windows XP в сети.
Небольшие организации могут индивидуально настраивать меры безопасности для этих виртуальных машин. Для предприятий Microsoft предоставляет такие инструменты, как MED-V, позволяющие легко централизованно управлять виртуальными машинами, предоставляя «инструменты управления», отсутствующие в автономном режиме XP.