Zařízení s Windows RT jsou lépe chráněna proti malwaru

27. 10. 2012

Sdílet

 Autor: © Andrea Danti - Fotolia.com
Zařízení se systémem Windows RT zavádějí nové možnosti zabezpečení aplikací ve Windows. Bez podpory Active Directory je však jejich užití omezeno.

Dokonce i právníci Microsoftu tvrdí, že Windows RT není Windows. Ve skutečnosti Microsoft vydává dva různé operační systémy: Windows 8 a Windows RT (Run Time). Zatímco obě verze vypadají na první pohled stejně, Windows RT vyniká zejména tím, že funguje pouze na architektuře ARM (jako například příslušný model tabletu Surface), zatímco v tradiční architektuře x86 nasadit nelze.

Aplikace Windows RT: Více bezpečnosti ve výchozím nastavení
Do systému Windows RT musí být všechny doplňkové aplikace nainstalovány z tržiště aplikací Windows Store. To má obrovské bezpečnostní důsledky. Aplikace ve Windows Store musí podporovat nové grafické rozhraní. Všechny používají API Windows RT a dosahují tak významného vylepšení zabezpečení ve výchozím nastavení.

Aplikace Windows RT lze vytvořit pouze v nejnovějších verzích programovacích jazyků, které splňují aktuální požadavky zabezpečení, zatímco starší programovací jazyky více náchylné k chybám podporovány nejsou. To také znamená, že aplikace pro Windows RT obsahují všechny bezpečnostní pojistky zavedené od systému Windows Vista. Patří mezi ně Zabránění spuštění dat (DEP), Address Space Layout Randomization (ASLR), SafeSEH, a další..

V předchozích verzích systému Windows lze definovat výjimky a spouštět i starší aplikace. U aplikací určených pro systém Windows RT to ovšem celkem logicky neplatí. Starší aplikace v něm zkrátka není možné spustit. Možnost instalace aplikací výlučně z Windows Store nabízí i Windows 8, tato vlastnost je ale standardně deaktivována.

Aplikace ve Windows Store jsou testovány a certifikovány společností Microsoft, aby bylo zabráněno bezpečnostním problémům. Výsledkem je, že spousty škodlivých programů, které se zaměřují na tradiční počítače se systémem Windows, prostě nebudou moci být koncovými uživateli spuštěny.

V případě, že do tržiště aplikací přece jen pronikne aplikace nějakým způsobem škodlivá (což se v minulosti stalo i v App Store Applu), může ji Microsoft nuceně odstranit. Což nás přivádí k další překážce v pronikání škodlivého softwaru: Všechny aplikace ve Windows Store jsou digitálně podepsané a Windows RT odmítne načíst moduly, které nejsou podepsány společností Microsoft.

I kdyby se hackerům nějakým způsobem podařilo malware do systému Windows RT nahrát, takový program se odmítne spustit, jelikož nebude podepsán a nebude pocházet ze zdroje AppContainer. Bude možné dostat se přes tuto obranu? Možná, ale rozhodně to díky přísným zabezpečením nebude jen tak snadné. Už jen díky nemožnosti používání jiných než nativních aplikací a těch z Windows Store a vytváření nových síťových připojení, nebo přijímaní nových příchozích.

Ochrana webového prohlížeče
Internet Explorer 10 – jediná verze povolená ve Windows RT – nenačte doplňky. Vzhledem k tomu, že většina dnešních úspěšných útoků pochází z třetí strany - doplňků prohlížeče, je toto velké bezpečnostní zlepšení.

Další užitečnou věc je blokování sdílení cookies v prohlížeči a sdílení souborů s jinými aplikacemi. Tato nová hranice zabrání v přístupu spoustě škodlivých aplikací, které se zaměřují na vykrádání cookies nebo umožňují spouštění souborů dříve uložených jako dočasné soubory Internetu a podobně.

Další výhodou je změna architektury. V architektuře ARM nebude možné použít viry vyvinuté pro předchozí verze Windows, které pracují pouze s architekturou x86. Microsoft má v tomto směru před útočníky celkem slušný náskok, proto asi bude chvíli trvat, než se objeví první aplikace schopné úspěšně proniknout do systému a napáchat v něm nějakou škodu.

Co v RT chybí
Čeho všeho se budou uživatelé Windows RT muset vzdát? Největší a nejvýznamnější chybějící funkce je neschopnost připojit zařízení Windows RT k doméně služby Active Directory. To bude významnou překážkou nasazení v mnoha prostředích, protože uživatelé Windows RT nebudou podléhat zásadám a pravidlům skupin, na které se mnohé podniky spoléhají. Můžeme očekávat, že prodejci začnou nabízet nějaký typ správy mobilních zařízení (MDM). Microsoft sám oznámil chystané zlepšení systémů SCCM a Windows Intune, které se zaměří na zařízení se systémem Windows RT.

Další chybějící funkce je šifrování disku pomocí nástroje BitLocker. Zařízení s Windows RT bude podporovat pouze vlastní šifrování disku. Je samozřejmé, že Microsoft nebude v systému Windows RT podporovat šifrování systému souborů (EFS).