První zásadní změnou z hlediska zajištění a řízení bezpečnosti v rámci operačního systému je absence Centra zabezpečení. Na první pohled je to krok zvláštní, na druhý ale zcela logický: Centrum zabezpečení nesdružovalo všechny bezpečnostní funkce, takže jeho nahrazení rozhraním Action Center je logická. Navíc zde dochází ke sloučení bezpečnostních a správcovských vlastností, což je v dnešní době funkcionalita potřebná a žádaná. Action Center zastřešuje desítku dosud samostatně řešených okruhů jako např. Centrum zabezpečení, Windows Defender, Windows Update, Network Access Protection či Zálohování a obnova.
Kontrola uživatelských účtů
Ve Vistách všichni automaticky pracovali v uživatelském účtu. Pokud bylo něco potřeba instalovat či modifikovat, bylo nutné pomocí funkce UAC (User Account Control) přepnout na vyšší práva – a počítač se pořád ptal, ptal, ptal...
To bylo často obtěžující (ne že by bezpečnost byla vždy příjemná, ale čeho je moc, toho je příliš) a v konečném důsledku se stávalo kontraproduktivním. Část uživatelů už staré známé hlášení „odklikávala“ automaticky a ani nestudovala jeho obsah, část uživatelů zase funkcionalitu UAC vypínala úplně. Že obě dvě varianty (nešlo o výjimky, ale spíše o masový jev) bezpečnosti příliš nepřidaly, jistě netřeba zdůrazňovat.
Proto Windows 7 přicházejí s vylepšením konceptu UAC. Nyní bude možnost přepínat mezi čtyřmi úrovněmi interakce s uživatelem:
-
Vždy se ptát při instalaci nebo změnách (dalo by se říci „režim Vista“).
-
Upozornit, když se dějí změny s programy, ale nikoliv s nastavením operačního systému (to je nyní základní nastavení).
-
Upozornit, když programy jsou změněné, ale nedoje ke „ztmavení“ obrazovky.
-
Nikdy neupozorňovat.
Mimochodem, právě tato možnost změny nastavení UAC se stala krátce po uvolnění zkušebních verzí Windows 7 terčem kritiky. Změnit nastavení totiž teoreticky může změnit i škodlivý kód – a potom se už bez varování uživatele vesele instaluje do počítače podobný malware. V praxi to ale není tak jednoduché: nejprve se „vypínací“ škodlivý kód musí do počítače dostat, stejně tak i jeho následovníci. V cestě by jim měly stát další bariéry (antivirová aplikace, firewall aj.) - UAC samo o sobě není bezpečnostním prvkem. Microsoft nicméně promptně zareagoval a slíbil v dalších verzích odstranit možnost přenastavení UAC bez vědomí uživatele.
BitLocker na druhou
V první verzi Visty umožňovala aplikace BitLocker pouze šifrování disku s operačním systémem, což bylo hodně limitující. Proto se s vydáním SP1 toto pravidlo změnilo a bylo možné šifrovat jakýkoliv disk, i když pouze pevný lokální.
Sice to bylo vykročení správným směrem, ale šlo jen o malý krůček – šifrování je nesmírně silný a užitečný nástroj, jehož použití by firmy, správci i uživatelé jistě ocenili v širší míře. Už jen třeba proto, že mnohem náchylnější ke ztrátě než počítače stojící v kancelářích jsou třeba přenášené paměťové karty nebo USB disky. Proto je vítaným vylepšením, že Windows 7 nabízejí nově také šifrování přenosných disků s jednoduchým rozhraním.
Funkcionalita BitLockeru je doplněna ještě o komponentu To Go pro přístup k zašifrovaným datům na systémech, které nejsou primárně vybavené BitLockerem. Jde o Vistu (kde BitLocker není ve všech verzích) a XP. BitLocker To Go umožňuje pouze čtení dat, ale to v mnoha případech postačuje.
DirectAccess
Funkce DirectAccess je zcela nová vlastnost, která umožňuje stanicím (zvláště „v terénu“) se připojovat k interní podnikové síti bez VPN. Administrátoři mohou uplatnit Group Policy (Skupinovou politiku) i jinak spravovat na dálku počítače kdykoliv jsou připojené k internetu – včetně aktualizace, a to i ve chvíli, kdy uživatel není aktuálně přihlášený k lokální síti – opravdu stačí jen připojení k internetu. To zjednodušuje život správcům a přináší i pro uživatele vyšší jistotu, že mají stále aktuální třeba antivirový program nebo nejnovější záplaty aplikací.
DirectAccess podporuje několikastupňovou autentizaci pomocí tzv. chytrých karet a pro šifrování provozu používá protokol IPv6 over IPsec.
Biometrická bezpečnost
Jedna z nejjednodušších (alespoň pro uživatele – nehovoříme o technickém aspektu věci) autentizačních metod, která v poslední době zažívá znovuzrození. Biometrická autentizace je nově přímou součástí operačního systému Windows 7 (Vista sice tuto metodu podporovala, ale nepřímo - skrze programy třetích stran).
Zámek aplikací
Funkcionalita „Software Restriction Policies“ byla už v XP a Vistě. Její podstatou je možnost omezení instalace programů, které by mohly představovat bezpečnostní riziko. Administrátoři mohli aplikovat Skupinovou politiku, aby chránili systémy před nežádoucími programy (nemusí jít přímo o škodlivé kódy, na mysli jsou třeba běžné programy, nad kterými ovšem správce sítě nemá kontrolu, a tudíž se mohou stát zdrojem potíží), ale tato funkce nebyla příliš používaná: aplikování bylo těžkopádné a složité na ovládání.
Windows 7 přichází s funkcí AppLocker, která dokáže nastavit a řídit politiku instalace programů výrazně jednodušším způsobem, než tomu bylo dosud. Navíc se vyznačuje i vyšší flexibilitou a možnostmi.
Windows Filtering Platform
Jedná se o sadu API umožňující přístup externích aplikací k Windows Firewallu. Byla sice už ve Vistě, ale tam se stala spíše terčem kritiky, a to kvůli svým omezeným možnostem. Windows 7 mají být výrazně vstřícnější vůči aplikacím třetích stran: Microsoft uvádí, že hlavní výhodou je možnost využívat některé části nebo funkce aplikace Windows Firewall programy třetích stran. Praktické využití této výhody je ale minimálně diskutabilní, hlavní přínos bude spíše v lepší spolupráci s jinými bezpečnostními programy.
Obnova systému
Vlastnost, se kterou bylo možné setkat se již ve Windows ME. Nejde tedy o nic nového pod sluncem, ale i zde lze najít mnoho příjemných vylepšení. Funkce je výrazně transparentnější a například zobrazuje, které soubory, funkce či hodnoty hodlá vracet do „původního stavu“. To zlepšuje orientaci uživatelů a pomáhá odhalovat jádro problému, u něhož je tak menší pravděpodobnost opakování.
Podpora DNSSec
Windows 7 obsahují podporu systému DNSSec (Domain Name System Security), což je výrazné vylepšení stávající bezpečnosti DNS. DNSSec ve Windows 7 využívá například elektronický podpis pro ověřování autenticity obdržených dat.
Internet Explorer 8
Byť samostatnou aplikací, přesto nedílnou součástí Windows 7, bude Internet Explorer 8. Také ten se posunuje do vyšší bezpečnostní úrovně. Bude obsahovat filtr „SmartScreen“ (vylepšená verze phishingového filtru z IE 7), filtr XSS (ochrana před útoky cross-site scripting), zvýrazňování domén (resp. jejich podstatných částí – uživatel tak snadno získá představu o tom, na které stránce skutečně je), dále lepší kontrola instalace ActiveX komponent (mj. možnost instalace jen pro určitou stránku) a v základním nastavení zapnutá ochrana DEP (Data Execution Prevention).
Závěrem
Před odhalením Windows 7 se spekulovalo o tom, že by tento systém mohl být postavený sám o sobě tak, že zcela nahradí potřebu bezpečnostních aplikací. Zatím ale nic nenasvědčuje, že by Microsoft měl takové ambice. Windows 7 vytváří robustní a silné základy bezpečnosti, ale na nich bude přece jen něco potřeba postavit. Takže bez specializovaných aplikací se ještě nějaký ten pátek neobejdeme.
Zmíněné bezpečnostní vlastnosti Windows 7 se ale ještě mohou změnit – uvědomte si, že zatím hodnotíme betaverzi produktu a na tu finální musíme ještě zhruba rok počkat. Zajímavé ovšem bude sledovat i množství zranitelností a skutečných provozních parametrů.
Microsoft přišel již v roce 2002 s iniciativou Trustworthy Computing, jejíž součástí byl i „bezpečný vývojový cyklus“ slibující klást maximální důraz na bezpečnost ve všech fázích životního cyklu produktu. Windows Vista byly prvním produktem, který do této kategorie patřil: od základů byl připravovaný coby součást „bezpečného vývojového cyklu“.
Z tohoto hlediska ale trochu zklamal: vyšší bezpečnosti bylo dosaženo především implementací nových funkcí, nikoliv výrazně kvalitnějším kódem (stačí si jen vzpomenout, kolik zranitelností týkajících se starších verzí systému se nečekaně objevilo i ve Vistě). Snad tuto pověst Windows 7 vylepší…
Tento článek vyšel v tištěném SecurityWorldu 1/2009.
PŘEDPLATNÉ
ČLÁNKY DO MAILU