Повышенная безопасность

ОС Windows Vista построена на основе передовых технологий безопасности из состава Windows XP с пакетом обновления 2 (SP2), однако в ее архитектуру были внесены фундаментальные изменения, помогающие лучше защитить клиентов от непрерывно совершенствующихся угроз, в том числе червей и других типов вредоносных программ. Проектирование и разработка Windows Vista осуществлялись в соответствии с жесткими требованиями процесса SDL, который обеспечивает существенное снижение количества и серьезности имеющих отношение к безопасности ошибок в конструкции и программном коде. Благодаря этому уменьшается уязвимость операционной системы перед возможными атаками, а это, в свою очередь, повышает целостность системы и приложений и помогает компаниям безопаснее управлять своими сетями и изолировать их.Кроме того, в состав Windows Vista включены новые функции, обеспечивающие многоуровневую защиту от вредоносных программ, несанкционированного проникновения в систему и кражи данных.

Такой подход основан на следующих принципах:


Борьба с угрозами и устранение уязвимостей

ИТ-отделам компаний и индивидуальным пользователям приходится тратить много времени и ресурсов, занимаясь устранением и профилактикой проблем, вызванных вредоносным программным обеспечением. В состав Windows Vista входят мощные функции, позволяющие предотвращать установку вредоносных программ или выявлять и удалять их прежде, чем они нанесут какой-либо ущерб. За счет этого повышаются производительность и безопасность компьютера, а также сокращается количество обращений в службу поддержки.

Шпионское и другое нежелательное программное обеспечение

Защитник Windows (прежнее название — Microsoft AntiSpyware) поможет обнаружить, удалить или заблокировать шпионские и другие нежелательные программы в режиме реального времени. Кроме того, в процессе обновления или перехода на Windows Vista используется основная подпись средства удаления вредоносных программ Майкрософт, позволяющая найти и удалить вирусы и другое вредоносное программное обеспечение. Можно загрузить и запустить средство в любое время после установки операционной системы с веб-страницы www.microsoft.com/security либо делать это ежемесячно с помощью компонента «Автоматическое обновление». (Примечание. Применение данного средства не отменяет необходимости установить антивирусное ПО.) Дополнительные сведения о корпоративном решении для борьбы с вредоносными программами Microsoft Client Protection можно найти на веб-странице www.microsoft.com/windowsserversystem/solutions/security/ clientprotection/default.mspx.


Персональный межсетевой экран

Один из наиболее действенных способов устранения угроз безопасности заключается в ограничении количества приложений, которые имеют право получать доступ к сети. Важной составляющей этой стратегии является встроенный персональный межсетевой экран Windows Vista. С его помощью администратор может разрешить определенному приложению функционировать локально, но заблокировать возможность обмена данными по сети. Так, брандмауэр Windows в Windows Vista позволяет администратору запретить приложениям (например, мультимедийным программам) обращаться к другим компьютерам или отвечать на их запросы. Такие приложения будут поддерживать воспроизведение музыкальных композиций или просмотр видеофильмов на локальном компьютере, но не смогут подключаться к веб-узлам в Интернете. Кроме того, улучшению управляемости, в том числе на уровне всей компании, способствует то, что параметры межсетевого экрана Windows Vista можно настраивать через объекты групповой политики.
Ограничение полномочий служб WindowsПерсональный межсетевой экран тесно взаимодействуетс новой технологией ограничения полномочий служб Windows, которая помогает предотвратить использование системных служб Windows для выполнения непредусмотренных действий в файловой системе, реестре или сети. Брандмауэр Windows поддерживает фильтрацию входящего и исходящего трафика и позволяет применять сетевые правила ограничения полномочий системных служб. Кроме того, с помощью таблиц управления доступом (ACL) службам можно разрешить производить запись только в определенные области файловой системы и реестра. Благодаря этому служба, которая попала под контроль злоумышленника, будет не в состоянии изменить важные параметры конфигурации в файловой системе и реестре или заразить другие компьютеры в составе сети. Например, можно запретить службе удаленного вызова процедур (RPC) переписывать системные файлы или модифицировать реестр.


Защита сетевого доступа (NAP)

Клиент защиты сетевого доступа (NAP) в Windows Vista помогает защититься от возможных атак из сети путем составления списка требований к состоянию клиентских компьютеров (например, наличие определенных обновлений для ПО и обновленной базы описаний для антивирусной программы) и проверки соблюдения этих требований при подключении компьютеров к сети. Клиентские компьютеры, которые не соответствуют установленным требованиям, в сеть не допускаются.


Интегрированное управление межсетевым экраном и IPSec

В Windows Vista функции управления межсетевым экраном и безопасностью протокола Интернета (IPSec) собраны на консоли «Брандмауэр Windows в режиме повышенной безопасности». Эта консоль повышает наглядность конфигурации системы безопасности и позволяет централизованно осуществлять фильтрацию входящего и исходящего трафика, а также настраивать параметры изоляции сервера IPSec и домена.

Windows Vista Повышение безопасности работы в Интернете

При разработке функций безопасности Internet Explorer 7 в составе Windows Vista на первом плане стояло достижение двух основных целей: защита пользователей от вредоносных программ и обеспечение безопасности их данных.


Защита от вредоносного программного обеспечения.

Более «жесткая» система безопасности Internet Explorer 7 пресекает попытки запуска вредоносных программ на компьютерах пользователей. Например, консолидированный модуль анализа URL-адресов делает практически невозможными атаки, направленные на переполнение буфера или вызов сбоя при анализе. Элементы управления междоменными сценариями предотвращают попытки манипулирования содержимым в одном домене с помощью сценария из другого домена в Интернете. Кроме того, в Internet Explorer 7 реализован новый механизм безопасности под названием ActiveX Opt-In, помогающий не допустить непреднамеренного использования элементов управления ActiveX, которые были предварительно установлены на компьютере, но еще не включались. При просмотре неизвестных веб-узлов функция ActiveX Opt-In запрашивает у пользователя разрешение на предоставление доступа к не использовавшемуся ранее элементу управления ActiveX. В защищенном режиме (доступен только в Windows Vista) обозреватель Internet Explorer 7 защищает пользователей от загруженных вредоносных программ, запрещая им производить запись в какие-либо ресурсы из зоны «Мой компьютер», кроме временных файлов Интернета. В этом режиме Internet Explorer 7 не может вносить изменения в пользовательские и системные файлы и параметры. Все взаимодействие происходит при помощи промежуточного процесса между обозревателем Internet Explorer и операционной системой. Этот процесс запускается только тогда, когда пользователь щелкает мышью меню или окно Internet Explorer. Все действия, запускаемые по сценарию, или автоматические процессы не могут загружать данные или влиять на работу системы. Защищенный режим Internet Explorer также обеспечивает безопасность просмотра на вкладках: для содержимого, находящегося вне текущей зоны безопасности, вместо вкладок открываются новые окна.


Предотвращение выполнения данных

На протяжении нескольких последних лет атаки, имеющие целью вызвать переполнение буфера, нанесли немало вреда системам под управлением Windows. Переполнение буфера возникает, когда область памяти (буфер), которая имеет ограниченный размер, получает слишком много данных и неправильно их обрабатывает. Например, если почтовый клиент способен обрабатывать вложенные файлы, в названии которых не больше 255 символов, а в почтовый ящик поступает сообщение, содержащее вложение с названием длиной 256 символов, может наступить переполнение буфера. При этом переписываются смежные участки памяти и может быть выполнен вредоносный программный код. Печально известный вирус MSBlaster использовал именно эту уязвимость. 64-разрядные версии Windows Vista защищают компьютеры от переполнения буфера за счет поддержки реализованной в 64-разрядных процессорах функции предотвращения выполнения данных. Эту функцию ни в коем случае не следует считать заменой качественного и правильно внедренного ПО для борьбы с вирусами и другими вредоносными приложениями, однако она является важным дополнительным уровнем безопасности, с помощью которого, скорее всего, можно было бы остановить распространение червя MSBlaster.
PatchGuard 64-разрядные версии Windows также поддерживают технологию Microsoft PatchGuard, которая предотвращает внесение исправлений в ядро Windows программами, не имеющими соответствующих полномочий. Это существенно повышает общую безопасность и надежность Windows и является дополнительной мерой защиты от вредоносных программ. Технология PatchGuard не разрешает драйверам режима ядра расширять возможности или заменять другие службы ядра, а сторонним приложениям — модифицировать его компоненты.


Подписывание драйверов

Компании и частные пользователи, которые предъявляют очень высокие требования к безопасности, имеют дополнительное основание, чтобы остановить свой выбор на 64-разрядной версии Windows Vista: все драйверы режима ядра, выполняющиеся на компьютере под управлением 64-разрядной версии Windows Vista, должны быть подписаны разработчиком. Подписывание драйверов не является гарантией безопасности, однако позволяет распознавать и предотвращать многие атаки и предоставляет корпорации Майкрософт возможность оказывать помощь разработчикам с целью повышения общего качества драйверов и снижения количества возникающих из-за них сбоев. В комбинации с поддержкой функции DEP на аппаратном уровне подписывание драйверов делает 64-разрядную версию Windows Vista самой надежной и безопасной из всех когда-либо выпущенных операционных систем Windows.

Борьба с угрозами и устранение уязвимостей — основные возможности
Возможность Краткое описание

Ограничение полномочий служб Windows

Каждой службе сопоставляется защищенный от записи маркер, который ограничивает доступ к файлам, реестру и сети операциями, необходимыми для нормальной работы соответствующей службы.
Ограничение полномочий служб Windows
Защита сетевого доступа

Агент клиента защиты сетевого доступа (NAP)

Агенты работоспособности системы определяют наличие необходимых исправлений и описаний вирусов, а также параметры конфигурации системы; агент карантина сообщает состояние клиентского компьютера и координирует действия агентов работоспособности системы и серверной службы принудительного помещения на карантин.

Интегрированное управление межсетевым экраном и IPSec

Повышение безопасности работы в Интернете — защита от вредоносных программ

Запрашивает разрешение пользователя при первом запуске элемента управления ActiveX. Internet Explorer может производить запись только в папку временных файлов Интернета.

Повышение безопасности работы в Интернете — защита данных от хищения

Подсветка адресной строки во время пребывания на безопасном веб-узле и возможность быстро проверить достоверность сертификата узла. Предупреждает пользователя при попытке перейти на веб-узел с подозрительным адресом TCP/IP или URL (например, содержащим специальные символы). Когда пользователь открывает веб-страницу, фильтр производит поиск в интерактивной базе данных веб-узлов, которые были замечены в несанкционированном сборе данных.

Удалить журнал обозревателя

Подписанные драйверы режима ядра

С целью предотвращения атак со стороны вредоносных программ разработчики обязаны подписывать драйверы режима ядра для Windows.Управление идентификацией пользователей и правами доступа В Windows Vista реализован ряд функций, позволяющих ИТ-специалистам проверять подлинность пользователей и контролировать доступ к устройствам, приложениям и данным.


Контроль учетных записей пользователей (UAC)

Контроль учетных записей пользователей в Windows Vista представляет собой набор инфраструктурных технологий, помогающих компаниям создавать лучше управляемые настольные системы, делать их менее уязвимыми для вредоносных программ и уменьшать ущерб от деятельности таких программ. Функция UAC позволяет пользователям запускать приложения и задачи, имея обычный набор прав. При этом доступ административного уровня требуется только для процессов, выбранных пользователем или ИТ-отделом. Кроме того, данная функция упрощает сохранение неизменной конфигурации настольных систем, поскольку не допускает несанкционированной установки приложений и неумышленного изменения системных параметров (что способно существенно снизить количество обращений в службу поддержки). В Windows XP есть два типа пользователей: обычные и администраторы. Обычные пользователи запускают приложения с помощью пользовательских учетных записей и являются членами группы «Пользователи». Администраторы запускают приложения с помощью административных учетных записей и являются членами локальной группы «Администраторы». Когда пользователь запускает приложение, его маркер доступа и сопоставленные административные полномочия во время выполнения применяются к приложению. Это означает, что приложение, запущенное членом группы «Администраторы», обладает всеми правами и разрешениями, которыми наделены локальные администраторы. (Аналогично, если то же самое приложение запускается членом группы «Пользователи», то оно получает все права, назначенные обычному пользователю.) В Windows Vista большинству приложений присваивается «административный» или «обычный» маркер. Если приложение не является административным, то Windows Vista по умолчанию запускает его в качестве обычного. Перед запуском административного приложения Windows Vista запрашивает у пользователя разрешение на выполнение приложения с повышенными правами. Это так называемый режим административного утверждения. По умолчанию запрос отображается, даже если пользователь входит в состав локальной группы «Администраторы»; любой администратор работает в качестве обычного пользователя до тех пор, пока определенное приложение или компонент системы не затребует при запуске учетных данных администратора. (Этот процесс называется повышением прав.) Минимизировать ущерб, наносимый вредоносным программным обеспечением, можно путем уведомления пользователей в ситуациях, когда они собираются выполнить действие, способное нарушить конфигурацию системы (такое как установка приложения). После того как пользователь предоставляет необходимые учетные данные, Windows Vista предпринимает действия по защите административного приложения от атак со стороны приложений и процессов обычных пользователей. Поскольку установка приложений должна утверждаться администратором, риск автоматической установки несанкционированных приложений снижается. Кроме того, обычные пользователи не имеют права менять параметры операционной системы (за немногочисленными исключениями, такими как изменение настроек дисплея, параметров управления питанием и временного пояса).


Проверка подлинности

Сегодня наиболее распространенным способом проверки подлинности является применение паролей. Однако подобная одноуровневая проверка имеет ряд недостатков. Простые, удобные для запоминания пароли легко разгадываются злоумышленниками. Более длинные и сложные пароли бывает трудно запомнить, и пользователи вынуждены записывать их на бумаге. Благодаря модернизации архитектуры Windows Vista поддерживает добавление альтернативных способов проверки подлинности, например на основе биометрических характеристик и маркеров. С целью внедрения собственных технологий проверки подлинности независимые поставщики ПО и другие компании могут разрабатывать специальные поставщики учетных данных для усовершенствованной службы Winlogon. Модель поставщиков учетных данных значительно проще фильтров GINA (Graphical Identification and Authorization), при этом несколько поставщиков могут функционировать параллельно.


Авторизация

Усовершенствованные функции управления правами в составе Windows Vista позволяют сохранять контроль над объектами интеллектуальной собственности и предоставлять доступ к конфиденциальным данным только уполномоченным пользователям. Для разработки прав и условий использования цифрового содержимого предназначен языкXrML (Extensible Rights Markup Language).

Подробный аудит

С помощью функций аудита в Windows Vista можно легко отслеживать действия пользователей. Категории аудита теперь включают в себя ряд подкатегорий, за счет чего снижается количество несущественных событий. В Windows Vista реализован встроенный механизм сбора и пересылки важных событий аудита на центральную консоль с целью упорядочения и анализа данных аудита в рамках всей компании.


Управление учетными данными

Управление учетными данными (например, паролями и сертификатами) и оборудованием (например, смарт-картами для хранения учетных данных) является непростой задачей для многих компаний. Windows Vista содержит передовые средства для управления учетными данными перемещаемых пользователей, в том числе новую службу DIMS (Digital Identity Management Service) и новый процесс подачи заявки на сертификат. С помощью таких ресурсов, как автоматическое средство сброса персональных идентификационных номеров (PIN), стало проще развертывать смарт-карты. Малые компании и индивидуальные пользователи теперь могут архивировать и восстанавливать учетные данные, хранящиеся в папке «Сохранение имен пользователей и паролей».


Криптографические службы

Криптография является важным компонентом служб проверки подлинности и авторизации Windows. В составе Windows Vista реализованы службы Crypto Next Generation (CNG) — об этом просили многие компании и правительственные учреждения. Первый выпуск CNG позволяет добавлять в Windows новые алгоритмы для использования с протоколами Secure Sockets Layer/Transport Layer Security (SSL/TLS) и IPSec. Кроме того, Windows Vista содержит новый процессор системы безопасности, обеспечивающий принятие решений о доверии для таких служб, как управление правами.

Управление идентификацией пользователей и правами доступа — основные возможности
Возможность Краткое описание

Контроль учетных записей пользователей

Kerberos и усовершенствования протокола .Авторизация .Диспетчер авторизации XrML

Перед запуском приложения с полными административными правами на интерактивном рабочем столе пользователя появляется предложение подтвердить свое согласие или указать учетные данные. В случае сбоя операций записи в общесистемные файлы и реестр они перенаправляются в профиль пользователя. Чтение происходит в первую очередь из виртуализованного/назначенного определенному пользователю места расположения, а уже затем — из общесистемных папок. Это позволяет запускать старые приложения без административных полномочий. Создается маркер «администратора» со всеми полномочиями, а когда пользователь с повышенными правами интерактивно входит в систему, путем отделения административных прав и групп выводится второй, «обычный», маркер. Этот маркер обычного пользователя по умолчанию применяется для запуска рабочего стола и других приложений.
Операции, для выполнения которых необходимы права администратора, в интерфейсе пользователя отмечены значком щита. Чтобы получить к ним доступ, обычному пользователю достаточно, не выходя из системы, указать учетные данные администратора.
С целью внедрения альтернативных технологий проверки подлинности независимые поставщики ПО и другие компании могут разрабатывать собственные поставщики учетных данных, например на основе биометрических характеристик и маркеров. Модель поставщиков учетных данных значительно проще фильтров GINA (Graphical Identification and Authorization). Кроме того, несколько поставщиков могут функционировать параллельно. Поддержка новых сценариев использования, WS-* (стандарты веб-служб) и протокола IPv6, а также повышенная производительность. Улучшенное управление ролями, определениями и назначениями ролей; повышение масштабируемости и производительности. Поддержка языка XrML версий 2.0 и 1.2, который служит для разработки прав и условий использования цифрового содержимого.

Управление учетными данными

Архивирует и восстанавливает учетные данные пользователей.

Переработанный процесс подачи заявки с мощными классами API для разработчиков и развитыми пользовательскими функциями. Обеспечивает перемещение сертификатов и учетных данных в лесу Active Directory, а также поддерживает комплексные сценарии управления жизненным циклом сертификатов. Средства для упрощенного развертывания смарт-карт и управления ими, например автоматическое средство сброса номеров PIN. Стандартная модель API упрощает разработку средств для работы со смарт-картами.
В рамках криптографической инфраструктуры предоставляет интерфейсы API и среду, необходимые для добавления в систему новых алгоритмов или разновидностей существующих. Службы CNG поддерживают протоколы SSL/TLS и IPSec; в будущем планируется реализовать поддержку других возможностей, например S/MIME и EFS. Через общий модуль карт предоставляется стандартный поставщик служб криптографии для карт всех типов; поддержка подключения к домену.

Защита данных и выполнение законодательных требований

В составе Windows Vista реализован ряд новых функций, с помощью которых ИТ-администраторы смогут обеспечивать целостность устройств и данных. Средство шифрования диска Windows BitLocker™ Средство шифрования диска BitLocker (прежде называвшееся полным шифрованием тома) — это функция защиты данных на аппаратном уровне, предназначенная для предотвращения доступа к корпоративным и личным данным на потерянных или украденных системах. Шифрование всего системного тома Windows не позволяет людям без соответствующих полномочий взломать защиту системы и файлов Windows с целью использования данных, содержащихся на потерянных или украденных компьютерах. Это помогает компаниям соблюдать законодательные требования в области защиты конфиденциальности данных и бороться с применением оборудования не по назначению. Функция легко развертывается, удобна в эксплуатации и обеспечивает быстрое восстановление. Оптимальным хранилищем для ключа шифрования сточки зрения функции BitLocker является микросхема доверенного платформенного модуля TPM версии 1.2. Если технология развертывается в системе, не имеющей такой микросхемы, то ключ шифрования записывается на запоминающее устройство USB. В этом случае конечный пользователь должен при каждой загрузке системы подключать к ней устройство USB; кроме того, важно, чтобы устройство USB хранилось отдельно от компьютера, который оно защищает (злоумышленник, получивший в свое распоряжение компьютер пользователя и устройство USB с ключом шифрования, может расшифровать том). Преимущество микросхемы ТРМ заключается в том, что она имеет встроенную защиту от подделки.


Клиент службы управления правами Windows (RMS)

Служба управления правами помогает компаниям контролировать и защищать важные цифровые данные за счет интеграции смарт-карт, а также поддержки ключей большей длины и специальных средств обмена информацией при взаимодействии типа «бизнес-бизнес». В состав Windows Vista входит встроенный клиент RMS.

Шифрованная файловая система (EFS)

Файловая система EFS служит для шифрования файлов и папок на уровне пользователя. Например, если на одном компьютере работают два пользователя, то с помощью файловой системы EFS каждый из них может шифровать свои данные так, чтобы они были недоступны другому. В составе Windows Vista управление файловой системой EFS по сети улучшено за счет возможности хранения ключей EFS на смарт-картах.


Управляемая установка драйверов устройств

Чтобы не допустить разглашения или кражи конфиденциальных данных и объектов интеллектуальной собственности, ИТ-админи-стратор может с помощью групповой политики Windows Vista заблокировать установку съемных запоминающих устройств (флэш-память USB, внешние жесткие диски и пр.).
Защита данных и выполнение законодательных требований — основные возможности
Возможность Краткое описание

Полное шифрование системного загрузочного тома.

Можно настроить политики, запрещающие использовать съемные запоминающие устройства и другие драйверы устройств.
Управление установкой драйверов устройств