Bezpečnost ve Windows Vista

18. 10. 2007

Sdílet

Windows Vista jsou na trhu již šest měsíců a nabízí se tak velmi zajímavá možnost bilancování nad tím, zda tento systém splnil obecná očekávání nebo nikoli 

Pokud vynecháme jiné oblasti a budeme se držet tématu (tedy bezpečnosti), může být tento systém na sebe náležitě hrdý. Podíváme-li na podrobné statistiky nalezených chyb (např. Secunia, http://secunia.com), přidáme dobu odezvy, za jakou je Microsoft schopen tyto chyby odstraňovat a porovnáme-li toto vše s jinými systémy na trhu (např. Windows XP, Redhat, Ubuntu, Mac OS), rychle zjistíme, že Vista je na špici a můžeme ji dnes klidně označit za nejbezpečnější klientský systém. Co ale Vistě k tomuto výsledku pomohlo? Jistě to jsou právě mnohé bezpečnostní novinky, kterým budou věnovány následující řádky.
 
User Account Control
Jednou z nejvíce viditelných a kontroverzních změn je UAC – česky „Řízení uživatelských účtů“. Je to důsledek změny, která se v systému odehrála pod jeho povrchem. Microsoft se od prvních verzí Visty maximálně snažil o to, aby oddělil ty části systému, které jsou životně důležité, od částí, které obsahují uživatelská nastavení. Právě fakt, že v minulých verzích Windows toto nebylo dodržováno, způsoboval mnohé bezpečnostní průniky. Nakonec se ale vše podařilo a díky tomu jsou nyní tyto části od sebe striktně odděleny – systém/uživatel, a to na disku, v registrech, ale i v nastavení procesů a aplikací. V praxi to znamená, že každý spuštěný program běží pouze pod právy běžného uživatele. Pokud chce program zasáhnout do chráněné části systému, musí zažádat o elevaci uživatelských práv. Pokud jsem přihlášen jako administrátor, stačí tento dialog jen potvrdit. Pokud ale jsem přihlášen jako normální uživatel, musím se autentizovat právy někoho, kdo má administrátorská oprávnění. Spolu s touto změnou přišly i další změny. Dnes je jasné, že není dobré, aby uživatelé pracovali na svých stanicích pod právy administrátorů, takže se změnila i systémová práva – uživatel už nemusí být administrátor, aby mohl provádět některé změny (např. nastavení napájení, VPN, instalace vybraných ovladačů, změna časového pásma atd.). To zvyšuje pravděpodobnost, že uživatelé nebudou ve svých Windows přihlášeni pod těmito vysokými právy a spolu s UAC tak výrazně sníží pravděpodobnost napadení systému škodlivým kódem (virus, spyware atd.).
 
BitLocker
BitLocker je systém ochrany dat uložených na disku. Primárně je určen k ochraně diskového oddílu, na kterém se nacházejí Windows Vista. Cílem je, aby nebylo možné při ztrátě či odcizení (např. notebooku) spustit jiný operační systém a z disku tak zcizit nejen citlivá data, ale hlavně prolomit další uživatelská hesla a získat tím mnohem širší a efektivnější možnosti útoku na takto „prolomený“ systém. Podotýkám, že BitLocker používá šifrování pomocí AES 128bit, což je velmi silná ochrana. Jakmile ale začneme hovořit o šifrování, musíme mít nějaké bezpečné úložiště pro ochranu klíčů, jimiž budeme šifrovat. Toho je dosaženo pomocí bezpečnostního modulu na základní desce – „Trusted Platform Module” verze 1.2. Tento bezpečnostní modul vytváří, ukládá a spravuje nezbytné klíče (obdobně jako SmartCard). Domníváte-li se, že pokud nemáte TPM, nemůžete BitLocker použít, jste na omylu. Vista vám umožňuje uložení těchto klíčů na externí médium (USB klíč). A nejen to. Ve firemních sítích správci jistě ocení možnost rozšíření schématu Active Directory a ukládání klíčů přímo tam! BitLocker je rozhodně krok správným směrem, ale je potřeba mít stále na mysli, že chrání systém pouze před neoprávněným prolomením a zcizením dat ze systémového oddílu. Jakmile tedy jednou Windows Vista už běží, musíte se chránit proti dalším útokům naprosto stejně, jako na jiném systému bez BitLockeru.
 
Vista Firewall
Dalším velmi zajímavým prvkem, hlavně ve firemní sféře, je nový Vista firewall. Kromě různých změn oproti Windows XP (např. kontroluje komunikaci všemi směry, všechny protokoly atd.) zde najdeme zásadní posun směrem k navýšení bezpečnosti komunikace jako takové. Nejedná se již „jen“ o firewall, ale o centrální řešení bezpečné komunikace celého systému. Spojuje se nám tak dohromady několik komponent, které byly dodnes od sebe oddělené. Ve chvíli, kdy začneme povolovat nějaký komunikační kanál (např. protokol nebo port), máme možnost ovlivnit i to, že tento kanál bude otevřen jen pro ověřená spojení (např. doménovým řadičem). K tomu všemu si na takto vytvořeném spojení mohu vynutit i šifrování (IPSec)! To dává administrátorům do ruky nástroj, jak v sítích vytvářet různé izolace komunikace mezi ověřenými a anonymními přístupy.
 
Network Access Protection (NAP)
Na předchozí téma bych mohl rovnou navázat a pokračovat – opět se jedná o řešení bezpečné komunikace, ale tentokrát ještě více do hloubky. Pomocí DHCP, VPN nebo 802.1X síťových prvků (switch, Wi-Fi router) máme možnost ověřovat, zda klienti Visty splňují námi definované podmínky (např. instalace konkrétní opravy, přítomnost a běh antivirového programu). Pokud ano, je těmto klientům umožněn přístup do sítě LAN. Pokud ne, jsou odmítnuti. NAP klient se vyskytuje zatím pouze ve Windows Vista a bude uvolněn také pro Windows XP (v rámci SP3). Nicméně ta nejdůležitější komponenta bude uvolněna až na konci letošního roku – Windows Server 2008. Jedná se tedy o velmi zajímavý příslib do budoucna, zatím nezbývá než se těšit a případně testovat dostupné betaverze.
 
Group Policy, Internet Explorer 7, Windows Defender a další
Bezpečnostních novinek je ve Windows Vista ještě mnoho, zmíním tedy alespoň krátce ty nejzajímavější. Pomocí „Group Policy“ je nyní možné ovlivňovat instalaci externích zařízení (např. USB disků) a zabránit tak např. zcizení firemních dat. Windows Vista obsahují také nejnovější prohlížeč internetových stránek Internet Explorer 7, nebo velmi kvalitní nástroj pro boj proti spywaru, Windows Defender.
Není možné na tak krátkém prostoru popsat všechny bezpečnostní novinky operačního systému Windows Vista, přesto doufám, že se podařilo přinést přehled alespoň těch nejdůležitějších, které v tomto novém operačním systému najdete.
 
Martin Pavlis, Microsoft MVP
 
Nastavení funkce BitLocker Drive Encryption.
Monitorování příchozí a odchozí komunikace.

Autor článku