Передовые технологии безопасности Windows XP с пакетом обновления 2 (SP2) легли в основу фундаментальных изменений архитектуры Window Vista, которые помогают улучшить защиту клиентов от постоянно изменяющихся угроз, в т. ч. программ-червей и других типов вредоносных программ. Проектирование и разработка Windows Vista осуществлялись в соответствии с жесткими требованиями цикла разработки безопасности (SDL), процесса, который обеспечивает существенное снижение количества и серьезности имеющих отношение к безопасности ошибок проектирования и программных ошибок. Это позволило лучше защитить операционную систему от возможных атак, а значит повысить целостность систем и приложений и предоставить организациям возможность более безопасно управлять своими сетями и изолировать их. Кроме того, в Windows Vista включены новые функции, обеспечивающие многоуровневую защиту от вредоносных программ, несанкционированного проникновения в систему и кражи данных. Такой подход основан на следующих принципах: предотвращение и блокирование атак, изоляция с целью ограничения возможных повреждений, восстановление для возвращения подвергшихся атаке компьютеров в работоспособное состояние, идентификация и управление доступом для предоставления доступа к устройствам, приложениям и данным только легитимным пользователям. Центр обновления Windows, функция автоматического обновления, Центры обновления Microsoft и программа проверки обновлений для программного обеспечения, в рамках которой обновления перед выпуском подвергаются всестороннему тестированию, обеспечивают поддержку Windows Vista. При разработке операционной системы уделялось особое внимание соблюдению требований «Общих критериев» (СС), что необходимо для получения сертификата четвертого уровня (EAL4) и успешного прохождения проверки на соответствие федеральному стандарту обработки информации 140-2. Сведения об усовершенствованной системе безопасности Windows Vista, предназначенные для ИТ-специалистов, представлены в трех последующих разделах: защита от угроз и устранение уязвимостей, повышение безопасности доступа к информации и защита данных от несанкционированного доступа.
Программы-шпионы и другое нежелательное программное обеспечение Защитник Windows (прежнее название — антишпионская программа Windows) помогает обнаруживать, удалять и блокировать программы-шпионы и другие нежелательные программы в режиме реального времени. Кроме того, в процессе обновления или перехода на Windows Vista используются стандартные сигнатуры вирусов для средства удаления вредоносных программ Майкрософт с целью поиска и удаления вирусов и других вредоносных программ.
Персональный межсетевой экран Один из наиболее действенных способов устранения угроз безопасности заключается в ограничении количества приложений, которые имеют право получать доступ к сети. Важной составляющей этой стратегии является встроенный в Windows Vista персональный межсетевой экран. По умолчанию персональный межсетевой экран включен и обеспечивает фильтрацию входящего и исходящего трафика. С его помощью администратор может разрешить выполнение определенного приложения на локальном компьютере, но заблокировать возможность обмена данными по сети. Так, брандмауэр Windows в Windows Vista позволяет администратору запретить приложениям (например, мультимедийным программам) обращаться к другим компьютерам или отвечать на их запросы. Такие приложения будут воспроизводить музыкальные композиции или демонстрировать видеофильмы на локальном компьютере, но не смогут подключаться к веб-узлам в Интернете. Кроме того, улучшению управляемости, в т. ч. на уровне всей организации, способствует то, что параметры брандмауэра Windows Vista можно настраивать через объекты групповой политики.
Ограничение полномочий системных служб Windows Персональный межсетевой экран тесно взаимодействует с новой технологией ограничения полномочий системных служб Windows, которая помогает предотвратить использование системных служб Windows для выполнения непредусмотренных действий в файловой системе, реестре или сети. Брандмауэр Windows поддерживает фильтрацию входящего и исходящего трафика и позволяет применять правила ограничения полномочий системных служб. Кроме того, с помощью таблиц управления доступом (ACL) службам можно разрешить производить запись только в определенные области файловой системы и реестра. Благодаря этому служба, которая попала под управление злоумышленника, будет не в состоянии изменить важные параметры конфигурации в файловой системе и реестре или заразить другие компьютеры, имеющиеся в сети. Например, можно запретить службе удаленного вызова процедур (RPC) переписывать системные файлы или модифицировать реестр.
Защита доступа к сети (NAP) Клиент NAP в Windows Vista помогает организации устанавливать требования к состоянию клиентских компьютеров (например, наличие определенных обновлений для ПО и обновленной базы сигнатур для антивирусной программы) и проверять соблюдение этих требований при подключении компьютеров к сети. Клиентские компьютеры, которые не соответствуют установленным требованиям, в сеть не допускаются.
Интегрированное управление межсетевым экраном и IPSec В Windows Vista функции управления межсетевым экраном и протоколом IPSec собраны на консоли «Брандмауэр Windows в режиме повышенной безопасности». Эта консоль обеспечивает наглядное представление конфигурации системы безопасности и позволяет централизованно управлять фильтрацией входящего и исходящего трафика, а также настраивать параметры изоляции сервера IPSec и домена.
Безопасность 64-разрядных версий Используя функции безопасности современных 64-разрядных процессоров, 64-разрядные версии Windows Vista обеспечивают улучшенную защиту от наиболее разрушительных программ-червей и программ-взломщиков на аппаратном уровне.
Предотвращение выполнения данных (DEP) За последние годы программы-взломщики, вызывающие переполнение буфера, нанесли немало вреда компьютерам под управлением Windows. Переполнение буфера возникает, когда область памяти (буфер), которая имеет ограниченный размер, получает слишком много данных и неправильно их обрабатывает. Например, если почтовый клиент способен обрабатывать вложенные файлы, в названии которых не больше 255 знаков, а в почтовый ящик поступает сообщение, содержащее вложение с названием длиной 256 знаков, то может произойти переполнение буфера. При этом переписываются смежные участки памяти, и по окончании ввода может быть выполнен вредоносный программный код. Печально известная программа-червь MSBlaster была программойвзломщиком именно этого типа. 64-разрядные версии Windows Vista защищают компьютеры от переполнения буфера за счет поддержки реализованной в 64-разрядных процессорах функции предотвращения выполнения данных. (Некоторые 32-разрядные процессоры также включают встроенные аппаратные средства поддержки этой функции, и в 32-разрядных версиях Windows Vista предусмотрено предотвращение выполнения данных при использовании таких процессоров.) Эту функцию ни в коем случае не следует считать заменой качественному и правильно настроенному ПО для борьбы с вирусами и другими вредоносными приложениями, однако она является важным дополнительным уровнем безопасности и, в случае более раннего появления, скорее всего, смогла бы не допустить распространения программы-червя MSBlaster.
Защита от исправлений ядра 64-разрядные версии Windows также поддерживают технологию защиты от исправления ядра, которая не позволяет программам вносить исправления в ядро Windows. Защита от исправления ядра обеспечивает отключение недокументированных и неподдерживаемых обработчиков ядра, что приводит к повышению надежности Windows. Недокументированные обработчики ядра могут снижать надежность и производительность, а также создавать проблемы с безопасностью всей системы.
Подписывание драйверов Начиная с версии Windows 2000, корпорация Майкрософт реализует концепцию «подписанных драйверов», которая позволяет пользователям получать сведения о происхождении драйверов и другого программного обеспечения, выполняющегося в ядре операционной системы. Несмотря на то, что эта технология может не допускать установки неподписанных драйверов, по умолчанию пользователь только получает предупреждение об установке неподписанного драйвера. С помощью групповой политики ИТ-администраторы могут заблокировать установку неподписанных драйверов, однако из-за наличия большого количества неподписанных драйверов во многих ситуациях это может оказаться нецелесообразным. Как правило, вредоносное программное обеспечение пытается установиться в ядро незаметно, а поскольку до появления Windows Vista проверка во время загрузки в ядро не проводилась, такие вредоносные программы могли успешно работать при условии, что эти действия выполнялись пользователем, обладающим административными привилегиями. Безопасность на уровне ядра значительно усилена в 64-разрядной версии Windows Vista — теперь все драйверы, работающие в режиме ядра, должны быть подписанными. Наличие цифровой подписи подтверждает идентичность, а также целостность кода. Поврежденный или подделанный модуль ядра не будет загружен. Драйвер, не подписанный должным образом, не сможет попасть в память ядра и не будет загружен.
Повышение безопасности доступа к информации
В Windows Vista реализован ряд функций, помогающих ИТ-специалистам проверять подлинность пользователей и контролировать доступ к устройствам, приложениям и данным.
Контроль учетных записей Благодаря функции контроля учетных записей (UAC) в Windows Vista появляется возможность развертывать Windows без использования административных привилегий, что дополнительно повышает безопасность и снижает совокупную стоимость владения. Пользователи с обычными учетными записями могут выполнять больше действий и испытывать меньше проблем, связанных с совместимостью приложений. Это помогает снизить опасность вредоносных программ, несанкционированной установки приложений и изменения параметров системы. По умолчанию в Windows Vista существуют два типа пользователей: обычные и администраторы. Обычные пользователи не могут самостоятельно устанавливать большую часть приложений, изменять параметры системы и выполнять административные задачи. При попытке выполнения обычным пользователем задачи, требующей прав администратора, пользователь получает уведомление о том, что либо выполнение этой задачи запрещено, либо для продолжения необходимо ввести учетные данные администратора (в зависимости от настройки UAC). Если во втором случае пользователь введет допустимые учетные данные администратора, его полномочия будут повышены до уровня, необходимого для выполнения этой задачи.
Чтобы устранить неудобства, которые многие обычные пользователи испытывали при работе с предыдущими версиями, Windows Vista предоставляет некоторые дополнительные привилегии, достаточные для выполнения стандартных задач. Выбор этих привилегий обусловлен тем, что они оказывают минимальное воздействие на безопасность, однако администраторы при желании могут ограничивать такие привилегии. К новым разрешениям учетных записей обычного доступа относятся следующие: просмотр системных часов и календаря, изменение часового пояса, установка протокола WEP для подключения к защищенным беспроводным сетям, создание и настройка подключений к виртуальной частной сети, а также установка разрешенных устройства и элементов управления ActiveX. Кроме того, теперь выполнение процесса дефрагментации диска планируется автоматически и не требует действий со стороны пользователя.
Благодаря виртуализации файлов и реестра в Windows Vista можно выполнять многие старые приложения, которые не могли работать с учетными записями обычных пользователей в Windows XP, поскольку такие приложения пытаются осуществлять запись данных в защищенные области файловой системы и реестра, недоступные для обычного пользователя. Windows Vista улучшает совместимость приложений для таких пользователей за счет перенаправления записи (и последующих операций с файловой системой или реестром) в определенное местоположение в профиле пользователя. В Windows Vista реализован новый уровень защиты для администраторов, называемый режимом одобрения администратором. В обычных условиях администраторы имеют те же полномочия, что и обычные пользователи. При попытке выполнения действия, требующего административных привилегий, появляется запрос подтверждения, и пользователь может принять обоснованное решение о необходимости продолжения. Если пользователь выберет продолжение выполнения, уровень привилегий будет оперативно повышен.
Защита данных от несанкционированного доступа
В Windows Vista реализован ряд новых функций, с помощью которых ИТ-администраторы смогут поддерживать целостность устройств и данных.
Шифрование диска Windows BitLocker
Клиент службы управления правами Windows (RMS)
Шифрованная файловая система (EFS)
Управляемая установка драйверов устройств
Управление использованием съемных запоминающих устройств
