Plus a minusy zabezpečení Windows 7

12. 7. 2010

Sdílet

Firmy již ve větší míře přecházejí na nejnovější operační systém Microsoftu. Pro Windows 7 hovoří mi. i jejich vyšší zabezpečení. Nemá ale bezpečnostní model současně také své slabiny? Kdy je třeba použít bezpečnostní nástroje od dalších dodavatelů?

Neil MacDonald, analytik společnosti Gartner, upozorňuje, že řadu bezpečnostních rolí ve Windows 7 lépe zastane specializovaný software třetích stran, byť to samozřejmě znamená náklady navíc.

MacDonald například uvedl, že funkce pro řízení aplikací ve Windows 7 (AppLocker) nedosahuje kvality podobných nástrojů od firem Bit9, CoreTrace nebo Solid Core (respektive McAfee, která SolidCore koupila). AppLocker funguje na základě whitelistu. Aplikací používaných v podnicích ale neustále přibývá a MacDonald tvrdí, že AppLocker se po nějaké době může stát noční můrou správce IT kvůli časové náročnosti své údržby.

Co se týče nástroje pro úplné šifrování disku BitLocker, ten sice není špatný, ale ani excelentní. MacDonald zde kritizuje absenci samoobslužné obnovy šifrovacích klíčů, nepřítomnost jednotného přihlašování, ale i to, že nástroj nejde použít i pro zařízení s Windows Mobile. Opět zde existuje řada nástrojů kvalitnějších než BitLocker, je třeba za ně ovšem platit zvlášť (byť ceny zde klesly a dnes vycházejí zhruba na 10-15 dolarů za desktop).

Sporná je také současná podoba nástroje pro řízení uživatelských účtů (UAC). Microsoft zde provedl řadu změn, které mají omezit obtěžování uživatelů příliš mnoha upozorněními a dialogy. Na druhé straně ale může člověk přihlášený jako běžný uživatel nyní do počítače nepozorovaně přidávat software, takže k zabezpečení je nutné i řízení na úrovni aplikací.

Klient pro VPN DirectAccess je sice v principu výbornou technologií, nicméně problematická je podle MacDonalda jeho vazba na protokol IPv6. Pokud ho firmy nemají interně nasazeny, stává se vytvoření zabezpečeného tunelu složitou procedurou.

Firewall ve Windows 7 také poskytuje jen základní ochranu a firemní sféra by se s ním neměla spokojit. Nepodporuje se zde např. hloubková kontrola paketů.

Bezpečnost se zvýší samozřejmě tím, že jako výchozí prohlížeč je ve Windows 7 už Internet Explorer 8, ten lze ale používat i spolu se staršími operačními systémy.

bitcoin_skoleni

Neil MacDonald na závěr uvádí, že ačkoliv verze Ultimate je podle Microsoftu určena pro koncové uživatele, nikoliv pro podniky, malé firmy by o ní mohly též uvažovat, protože je výrazně levnější než Enterprise. Ultimate verze má samozřejmě cenu jen do určitého množství počítačů, protože aktivace je zde vždy třeba provést ručně u každého PC zvlášť. Faktem také je, že pro verzi Enterprise bude Microsoft vydávat opravy 10 let, pro verzi Ultimate jen 5.