Báječné vyhlídky s Vyhlídkou?

1. 3. 2007

Sdílet

Čím se blýská Windows Vista v oblasti bezpečnosti a komunikace Nový klientský operační systém Windows Vista j...


Čím se blýská Windows Vista v oblasti bezpečnosti a komunikace


Nový klientský operační systém Windows Vista je víceméně realitou. Po letech dohadů, testovacích verzí, všelijakých fám a překvapení uvádí Microsoft novou verzi platformy pro PC, jejíž předchůdci podle hrubého odhadu sídlí na více než 90 procentech klientských počítačů třídy PC. Jde i nadále o systém pro 90 % "koncových" PC? Ačkoliv zlí jazykové tvrdí, že Microsoft uvolnil nový větší "service pack" svého operačního systému, Windows Vista jsou o dost více než pěkně vymalovaná záplata.
měn je opravdu hodně, a proto jsme se rozhodli zaměřit na ty, jež patří mezi nejzajímavější a dlouhodobě nejsledovanější: zabezpečení operačního systému a připojení k sítím. Jak bude z následujících odstavců zřejmé, i tyto oblasti jsou zásobou zajímavých inovací.

Část první: bezpečnější Vyhlídky

V duchu prosazování doktríny za důvěryhodnější platformu PC se výrobce Visty zaměřil na klíčovou oblast: zabezpečení nových Windows na ještě vyšší úrovni, než jaká byla dosud dostupná. Nové bezpečnostní funkce či vylepšení starých, již používaných principů tak patří mezi nejvíce proklamované inovace. Proto se i my v první části článku zaměříme na tuto funkcionalitu a představíme si proměny, jež mohou překvapit, potěšit, ale i potrápit.

Kým skutečně jste? Naučte se přihlašovat!

Jedním z bolestných míst systému Windows bývala nutnost vlastnit administrátorská práva na řadu operací, jež jsme chtěli a potřebovali běžně provádět. Jinými slovy, aby "vše fungovalo", mají uživatelé sklony být běžně přihlášeni s právy administrátora, což ohromně usnadňuje cestu škodlivému kódu či neopatrné instalaci problémového softwaru. Boj s touto výzvou je ve Vistě patrný na upravené koncepci uživatelských účtů, celý balíček změn je označován jako User Account Control.
Windows Vista rozlišují dvě úrovně uživatelských účtů. Administrator Users jsou uživatelé se silnými právy, zatímco Standard Users jsou ve svých možnostech silně limitováni. Důležité je, že systém se v řadě situací chová právě podle toho, do jaké úrovně uživatel patří: podle příslušnosti jsou pak zobrazovány varovné dialogy či dochází k žádostem o jednorázové povýšení práv (elevation) v případě akce, která vyžaduje administrátorská práva. Koncepce klasifikovaných účtů tedy slouží k praktickému rozlišení a "uvědomění si", kam patříme a co se opravdu chystáme se systémem udělat. Nápad byl rozvinut do té šíře, že pomocí nastavení příslušné politiky lze navodit situaci, kdy veškeré spouštěné aplikace běží na "hladině" Standard User, a to i v případě, že jste přihlášeni jako administrátoři. Teprve ve chvíli, kdy se libovolný program pokusí skutečně učinit operaci, jež opravdu potřebuje vysoká práva, nabízí Vista dialogy a vyžaduje potvrzení akce. Na tuto koncepci velmi těsně navazuje mechanizmus popsaný v dalším odstavci.
V souvislosti se snahou omezit akce pod administrátorskými účty byly běžným uživatelům povoleny některé akce, jež dříve vyžadovaly práva silnější. Nově lze třeba měnit časovou zónu či se dívat na hodiny a kalendář, přidávat tiskárny, vytvářet chráněná spojení VPN či instalovat fonty písem.

Opravdu to chcete? Kontrola na každém kroku

Již trendy na platformě Windows XP a pozdější experimenty či vývojové verze dávaly tušit, že důsledná kontrola spouštění aplikací patří k nejakcentovanějším možnostem zabezpečení operačního systému v podání Microsoftu. Ve Vistě byla tato logika dovedena do důsledné implementace, díky jejímuž používání můžete stejně dobře systém ochránit, jako skončit na pokraji šílenství. Podívejme se tedy těmto funkcím na "zoubek". Výchozí myšlenka je vlastně prostá: významným ohrožením je nenápadné či záludné spuštění aplikace, jež zneužije administrátorských práv přihlášeného uživatele a napáchá škodu proto je potřeba tomuto zabránit. K tomuto cíli lze dospět několika cestami.
Jednou z nejúčinnějších metod je důsledná kontrola při každém spuštění programového kódu, jenž vyžaduje administrátorská oprávnění (viz výše o UAC). V závislosti na tom, pod jakým účtem je momentální uživatel přihlášen, je zobrazena buď výzva k dodatečnému přihlášení administrátorského účtu (pouze pro tuto operaci), či alespoň k potvrzení této akce. (Jste si jisti, že to chcete udělat?). Myšlenka dobrá, provedení důsledné, následky... někdy pekelné. První dny používání přinejmenším uživatelům ukážou, jak často nevědomky silných oprávnění používali. Ano, tato pekelná situace, kdy bude potřeba potvrdit a dodatečně odsouhlasit opravdu leccos, odhaluje v úplné nahotě historické souvislosti: Microsoft vychoval tvůrce aplikací k tomu, aby se ve Windows chovali, jako by jim systém bez omezení patřil. Snaha vyrvat tento princip i s kořeny nyní bude velmi bolet, a to v konečném důsledku hlavně uživatele.
Neradi bychom ale tuto výbornou ochranu devalvovali. Její nasazení přináší nezanedbatelné posílení bezpečnosti, neboť potlačuje spouštění akcí s širokým a nekontrolovaným dosahem a dovoluje opravdu podrobně sledovat, jaký program se snaží vysokých oprávnění použít. Problém však právě je, že ve světě aplikací, jež toto nemusely nikdy opravdu důsledně dodržovat, řada uživatelů brzy funkci vypne, aby se prostě nezbláznili. Oklikou se tak vlastně řeší problém, který tvůrci Windows vyrobili sami a záměrně. Inu, kdo seje vítr... Uživateli nezbývá, než buď vydržet nepříjemné dialogy, nebo rezignovat na bezpečnost a riskovat.

Dovnitř i ven bezpečně: inovace osobního firewallu

Ačkoliv při pohledu do historie verzí Windows představuje komponenta Windows Firewall poměrně mladou součást, patří určitě k těm, jež do operačního systému zapadly nejlépe a sžily se s ním. Při používání na platformě Windows XP se stále objevovaly částečně oprávněné hlasy, že jako osobní firewall to není špatné, ale tu a tam něco chybí. Tvůrcům verze ve Vistě je třeba přiznat, že postoupili nekompromisně vpřed.
Důležitou změnou je rozdělení systémové součásti "firewall" na dvě funkční části. Pro základní použití je určen program s podobným rozhraním a funkcionalitou, jaké jsme našli u verzí Windows XP SP2 a Windows Server 2003 SP1. Novinkou je pak pokročilejší Windows Firewall With Advanced Security (firewall s rozšířeným zabezpečením), jenž zvyšuje laťku kvality komponenty a nabízí velmi podrobné možnosti nastavení, výbornou ovladatelnost a možnosti centrální správy. Právě v této nové části je ukryta zásoba zajímavých inovací.
Jednou z nejvýraznějších novinek je možnost ochrany a limitace odchozího síťového spojení, což byla dosud jedna z citelných slabin. V tuto chvíli je možné pomocí sady podrobných pravidel kontrolovat jak příchozí, tak odchozí provoz v podstatě rovnocenným způsobem. Velmi zásadní bezpečnostní problém nekontrolovaná aktivita běžících aplikací při přístupu na síť se tak dostal pod kontrolu. I zde tedy můžeme pracovat jak s logikou kontroly pomocí tradičních síťových pravidel, tak s vazbou "na aplikaci".
Z pohledu ovládání firewallu je významnou novinkou možnost konfigurace v prostředí příkazového řádku pomocí nástroje Netsh. Tento všestranný program obsahuje nový kontext (skupinu přepínačů), uvozenou zápisem netsh advfirewall. Už z názvu je patrno, že je určen pro pokročilá nastavení prostřednictvím skriptů. A když už hovoříme o spravovatelnosti, je třeba zmínit nová vylepšení v mechanizmu centrální správy Group Policy. Windows Firewall je nyní možné totálně ovládat a řídit i ve velmi rozsáhlých sítích pomocí zavedeného postupu. O firewallu samotném by bylo možné hovořit ještě dlouho, a proto se podívejme ještě alespoň na jednu změnu. Jeho ovládání je nyní integrováno s konfigurací pokročilého ochranného prostředku, síťové technologie IPSec, nově vytvořené grafické rozhraní je poměrně přehledné a dobře ovladatelné. Ani tady ovšem nechybí konfigurace pomocí příkazového řádku.

TPM: důvěřuj, ale prověřuj

Byť nám to může připadat nepravděpodobné, jednou z nejcitlivějších oblastí na poli ochrany našich PC je fyzická bezpečnost. Ne nadarmo se říká, že zabezpečení operačního systému končí ve chvíli, kdy přestává běžet, a stejně tak ne nadarmo se krade tolik přenosných počítačů, aby bylo možné je posléze v klidu podrobit důkladnému útoku.
Přelstít tyto principiální problémy se pokouší koncepce tzv. služby Trusted Platform Module (zhruba přeloženo modul důvěryhodné platformy). Jednou z hlavních myšlenek je fyzické rozložení či rozmístění kontrolních součástí (ověřovacích klíčů, kontrolních součtů apod.) na několika místech: BIOS počítače spolupracuje se samostatným hardwarovým TPM, ty společně pak mohou komunikovat s operačním systémem a provádět společnou kontrolu či ochranu dat. Navíc je do celého řetězce možné zapojit další externí úložiště, jako jsou paměťová média s rozhraním USB, a vynutit dodatečný stupeň ochrany, kupříkladu použitím PIN. Jinými slovy, vstup do počítače spuštění operačního systému a zpřístupnění dat může být vázáno na ověření prostřednictvím několik oddělených prvků. Kam nedosáhla Windows po svém vypnutí, může sáhnout jiná nezávislá komponenta, spolupracující s BIOSem PC. Vytržený pevný disk, připojený do jiného stroje, pak již nemusí být snadným cílem a obětí.
Microsoft implementoval technologii TPM především pro podporu šifrování disků pomocí systému BitLocker. Aby vše mohlo bezvadně fungovat, je samozřejmě potřeba pořídit hardware s potřebným modulem TPM a verzí BIOSu, jež takovéto operace podporuje. Již dnes najdeme na trhu kupříkladu notebooky s odpovídající výbavou.

Disk jako pevnost: BitLocker

Jedním z největších bezpečnostních problémů, a to nejen operačních systémů řady Windows, je možnost útoku typu "off-line". Je-li kupříkladu přenosný počítač (notebook, laptop) odcizen, útočníkovi nic nebrání zavést jiný ovládací software a data z disku ukrást, případně modifikovat instalovaná Windows tak, aby bylo možné se do nich přihlásit pod existujícím účtem s co možná nejsilnějšími uživatelskými právy ("resetování hesel"). Právě této hrozbě by měl učinit přítrž zcela nový systém BitLocker.
Řešení tohoto jména je v zásadě ochranou šifrováním celých disků. BitLocker byl navržen pro spolupráci s modulem TPM (viz výše), ale dokáže pracovat i bez něj: v prvním případě poskytuje ochranu celých disků, včetně systémových souborů, v případě druhém pak rovněž zesílenou kontrolu zaváděcích souborů operačního systému s cílem vyloučit podvrhy nebezpečné změny. V zásadě zde tak dochází k vyřešení koncepční nedostatečnosti systému EFS (viz dále), jehož úkolem je šifrovat spíše "užitečná" data a systémových souborů se netýká.
Ideálním případem nasazení je kombinace BitLockeru s modulem důvěryhodnosti TPM, jenž přebírá péči o přístupové kontrolní klíče. Pokud není na počítači modul TPM k dispozici, nic není ztraceno, neboť BitLocker lze zapnout v režimu s použitím jiného externího úložiště, připojeného pomocí rozhraní USB. (Že by se opravdu nad disketami zavírala voda?) Systém ochrany pak při snaze zavést a spustit Windows Vista či při pokusu o vstup na totálně chráněný disk zkontroluje přítomnost přístupových klíčů. Jsou-li chráněné soubory po pokusu o útok změněny nebo potřebné klíče chybí, dojde k zavedení speciálního režimu obnovy a další cesta vede přes použití dodatečných ověřovacích informací (klíčů). V opačném případě jsou data nedostupná.
Implementace systému BitLocker je ve Windows poměrně převratnou novinkou. Takováto řešení jsou dostupná již delší dobu od řady dodavatelů, jako přirozenou součást operačního systému ji však Microsoft nabízí poprvé.

Opravdu utajené soubory: inovace v EFS

Přestože by se mohlo zdát, že nasazení zbrusu nové technologie BitLocker je vlastně jakousi náhradou již dříve zavedené ochrany souborového systému Encrypted File System, i tento bezpečnostní mechanizmus se konečně dočkal zásadního, citelného vylepšení. EFS bylo uvedeno poprvé ve Windows 2000 a předpokládalo se, že již výrazné vylepšení implementace PKI (systémů šifrování s veřejným klíčem) ve Windows XP dovolí ukládat šifrovací klíče pro EFS na externí nosič. Nemilým překvapením bylo, že toto vyřeší až nástup Visty, a tak se také stalo. V současné době je tedy možné místo v profilu uživatele definitivně uložit šifrovací klíče pro EFS na médiu, jakým je kupříkladu "smartkarta", což bezpečnost ochrany souborů výrazně zvyšuje. Veškeré více či méně teoretické útoky směřující k prolomení účtu oprávněného uživatele a následnému zneužití klíčů, uložených v profilu, je tak z principu možné eliminovat.

Zapisujte nanečisto: virtuální soubory a Registry

Mezi pokročilejšími uživateli operačních systémů Windows se pravděpodobně nenajde žádný, který by pochyboval o významu databáze Registry a zároveň se mírně nepolekal při pomyšlení na možnost jejího poškození či zničení. Koncepce centralizované databáze se všemi důležitými údaji na jednom místě s sebou nese závažný problém právě v tom, že pokud ji poškodíte, ve výsledku to "odnesou všichni". Velmi podobné to je i s řadou systémových souborů.
Právě tuto návrhovou vlastnost (nedostatek?) se snaží výrazně zmírnit nově zavedená koncepce virtualizace. Jak část databáze Registry (HKEY_LOCAL_MACHINE), tak některé složky (adresář s operačním systémem a dále Program Files) jsou k dispozici aplikacím, jež sem korektně zapisují pod "silnými" právy administrátorů. Pokud se však najde program, jenž se pokouší v režimu uživatele se slabšími právy výše uvedená místa změnit, nabídne Vista vytvoření virtuální kopie v místě, kde leží ostatní uživatelské soubory a složky. Jinými slovy, nevychované programy dostanou k dispozici vlastní "píseček", na němž si mohou páchat své riskantní experimenty bez skutečného rizika ohrožení stability systému.
Na první pohled je tato koncepce velmi zajímavá a přínosná, avšak při hlubším zamyšlení se vynořují některé otázky. Microsoft se snaží od dob Windows 2000 přinutit vývojáře, aby psali aplikace slušně a "necpali se" v systému do míst, kde nemají co dělat. Zavedení virtualizace znamená určitý obrat, tedy vlastně trošku ústup: nedonutili jsme vývojáře pracovat korektně a psát neškodné programy, a proto jsme vymysleli tuto fintu. Na druhou stranu, nápad je to zajímavý a možná je na místě spíše konstatování: konečně!

Na špiony bez slitování: Defender v plné zbroji

Program Windows Defender nepředstavuje žádnou zásadní novinku a inovací je v podstatě pouze jeho plné začlenění jako výchozí součást operačního systému Windows. Jde o software pro ochranu před špionážními či obdobně záškodnickými kódy, jež se mohou ocitnout na vašem stroji obvykle při brouzdání internetem. Režimy jeho práce jsou poměrně typické: vedle kontroly (skenu) na požádání se nabízí automatické sledování "na pozadí", tedy monitorování v reálném čase, a také pravidelné plánování důkladné kontroly, kupříkladu na noční hodiny. Aktualizační soubory jsou stahovány jako součást služby Windows Update, což usnadňuje údržbu, program pracuje poměrně bezkonfliktně a spolehlivě.
Plnou integrací do Windows Visty tak byla vlastně zakončena vývojová cesta tohoto programu: po koupi původního výrobce Microsoftem a následném dlouhodobém šíření zdarma ve formě "betaverze" došlo k definitivnímu přejmenování a zapojení do operačního systému. Logicky se nabízí otázka, co bude na řadě příště. Po osobním firewallu a anti-spywaru třeba antivirus?

Co dělají dětičky? Parental Controls nastupují

Vedle řady nových funkcí, jež jsou vylepšením dřívějších možností, patří rodičovská kontrola ke zbrusu novému prvku ochrany. Její funkcionalita dokonale odpovídá názvu: některým uživatelům je zkrátka možné omezit jejich svobodu pohybu na internetu a zpřísnit režim používání řady aplikací. Zda je cílem vychovávat pak koneckonců není už tak podstatné.
Parental Controls jsou postaveny na dvou principech: tvrdá restrikce a monitorování aktivity. Prvnímu principu odpovídají omezení časová (kdy bude možné počítač používat), aplikační (hry označené za nevhodné není možné spustit) či internetová (jaké stránky jsou zapovězeny). Druhá myšlenka je pak provedena v podobě Activity Reports, jež jsou poměrně podrobným záznamem činnosti, počínaje časem stráveným jako přihlášený uživatel, přes přehled spouštěných programů až po seznam přijatých a zaslaných e-mailů. K sledování je toho opravdu dost a rodič/správce/majitel stroje si může udělat dobrý obrázek, k čemu došlo. Na závěr připomeňme, že popsané mechanizmy lze navázat na specifické uživatelské účty.

Část druhá: síťové Vyhlídky

Vývoj operačního systému bývá obvykle prezentován s využitím co nejokatějších příkladů nová grafika je k tomu ideální, funkce zabezpečení také nejsou špatné. Mezi novými síťovými funkcemi se velké množství marketingových šampionů asi nenajde. Na druhou stranu řada drobných i větších změn stojí za zmínku, a proto je zde popíšeme.

Do sítě jen opatrně: Network Access Protection

Byl to možná právě vývoj sítí Wi-Fi (věnujeme se jim v dalším odstavci), jenž zpětně výrazně ovlivnil i pohled na bezpečnost "drátěných" sítí. Technologie Network Access Protection je výsledkem úvahy, že pustit do vnitřní (většinou firemní) sítě počítač "jen tak", bez kontroly, je hazard, a to obzvláště u přenosných strojů, jež jsou střídavě používány v mnoha sítích.
NAP bdí nad tím, aby připojovaný operační systém splnil jakási vstupní kritéria, než mu bude povoleno plnohodnotné síťové připojení. Myšlenka byla realizována již dříve v prostředí Windows Serveru 2003, dosud se však týkala pouze vzdáleného přihlašování a sítí VPN. Nový mechanismus NAP dovoluje chránit jak lokální, tak vzdálené ("tunelované") sítě a také klienty terminálových serverů. Hlavní komponentou je služba NAP Agent, běžící ve Vistě jako hlídač čistoty a ukázněnosti operačního systému. Tento agent hlídá, zda kupříkladu máte puštěný firewall, staženy všechny záplaty či spuštěný anti-spyware. Na straně serverové pak musí běžet odpovídající kontrolní část, označovaná jako Health Registration Authority, a právě jí lokální agent opakovaně podává hlášení o stavu čistoty svého prostředí. Špatný výsledek kontroly a tedy nesplnění požadavků na bezpečnost může ve výsledku znamenat úplné odpojení od sítě. Na závěr dodejme, že pro konfiguraci příslušných politik jsou k dispozici nové konzoly NAP Client Configuration a NAP Server Configuration.

Bezdrát na maximum: za nezávislé Wi-Fi

Jisté inovace si ve Vistě vysloužily i bezdrátové sítě standardu Wi-Fi, neboť jejich vývoj je překotný a některé způsoby implementace ve Windows XP byly seznány jako nešikovné. Řady z nich si běžný uživatel asi ani nevšimne, což nijak neubírá na jejich významu.
Za změny "uvnitř" je jistě možné považovat oddělení sítí Wi-Fi jako samotného média od lokálních ethernetových sítí. Změna je spíše důležitá do budoucna, neboť díky tomu bude možné dále zavádět specifické funkce či dodávat nové ovladače, jež jsou lépe vyladěny s ohledem na specifika Wi-Fi. Mírnou změnou, důležitou i pro koncové uživatele, prošla i koncepce klasifikace nalezených a připojitelných Wi-Fi sítí. Vedle sítí zabezpečených (Secure) a nezabezpečených (Unsecured) jsou zde rovněž sítě ukryté (Hidden), jež neinzerují svou identitu (SSID) a umožňují připojení jen díky znalosti tohoto identifikátoru. I posledně jmenovaná síť pak může být označena za žádoucí (jako preferovaná), což v podstatě odpovídá realitě řada firemních lokálních sítí svá jména neinzeruje kvůli bezpečnosti.
Jinou velmi zajímavou inovací je pak virtualizace bezdrátových adaptérů Wi-Fi. Stručně řečeno, uživatel připojí jednu fyzickou kartu Wi-Fi a Vista si ji dokáže "virtuálně" klonovat, a to se vším všudy je tedy možné používat několik bezdrátových adaptérů najednou, ačkoliv fyzicky existuje jen jeden. Paralelně je možné se připojit do více bezdrátových sítí, a to i s různými bezpečnostními parametry. Jde tedy o jakési sdílení fyzického adaptéru větším množstvím rozhraní virtuálních, a to zcela plnohodnotných, čímž se velmi zvyšuje jeho využitelnost.

Závěrem

Naše přehlídka samozřejmě zahrnuje jen omezené množství novinek systému Windows Vista, proto byly zvoleny části, zaměřené na sítě a bezpečnost. Právě některé koncepce zabezpečení mohou přinejmenším pro budoucí týdny změnit váš zavedený způsob práce s Windows budete-li trpěliví a odolní, získáte silnější ochranu. Nevydržíte-li a kupříkladu technologii User Account Control (UAC) vypnete, uleví se vám hned, avšak Vista se stane zčásti systémem bez inovací. A zbude nám tradiční otázka: potřebuji ji vůbec? Pokud jste v naších odstavcích našli novinku, která je "právě pro vás", možná už teď tušíte, že s Windows Vistou otálet nebudete. Pak jistě ani nezapomenete, že změny v zabezpečení a síťování jsou jedny z nejdůležitějších inovací nového klienta z Redmondu.