Защитена още в зародиш
Също както с Windows Vista, Microsoft разработиха Windows 7 според правилата на SDL (Security Development Lifecycle - унифициран процес по разработката на софтуер, първоначално предложен и понастоящем използван от редмъндци, с помощта на който се намаляват разходите по поддръжката на съответния софтуер и увеличаващ надежността на същия по отношение на бъговете засягащи сигурността), т.е. още в зародиш, новата ОС е правена, така че да бъде възможно най-сигурната компютърна среда, залагайки на ключовите функционалности - които направиха от Vista "най-сигурният Windows" - като Kernel Patch Protection (или PatchGuard - система непозволяваща кръпи по ядрото на ОС), DEP (Data Execution Prevention - използва се във всички версии на Windows след втория сервизен пакет на XP; автоматично прави проверка на паметта с цел предотвратяване на изпълнението на опасен код), ASLR (Address Space Layout Randomization - техника която размества позициите на програмния код в паметта, за да се предотвратят атаки разбъркващи хода на изпълнение на програмата) и MIC (Mandatory Integrity Control - стожер за сигурността и на Vista, и на Windows 7; изолира приложенията, като не им позволява да използват процеси на системно ниво, така защитавайки основните системни процеси от зловреден софтуер). Изброените функции предоставят изключително стабилна основа за предпазване от зловреден код и други атаки, но има още ключови компоненти, които трябва да споменем...
Подобреният UAC
Няма как да не сте поне бегло запознати с UAC (User Account Control), ако сте ползвали Windows Vista, чието първо предназначение е да подсигури достъпа до системата от потребители с по-ниски привилегии и така позволявайки организации да използват операционната система без да дават администраторски права на подчинените си. Второто предназначение на UAC е да принуди софтуерните производители да използват по-комплексни кодинг техники, за да не очакват лесен достъп до деликатните зони на ОС, заради което повечето потребители припознаха UAC, като функция от сигурността на Windows.
Болшинството от потребители обаче, асоциират UAC като поредната причина заради, която да "благославят" Microsoft поне до девето коляно, тъй като на практика UAC изкарва дразнещи предупредителни съобщения всеки път, когато програма иска да извърши някаква промяна... което се случва често... прекалено често. С това, UAC събра цяла орда от негативни мнения и с Windows 7, от Microsoft са се постарали да направят функцията по-гъвкава и ненатрапчива, а дори и с по-интуитивен интерфейс - под User Accounts в Control Panel-а, можете да изберете Change User Account Control Settings, с което ще установите пълен контрол над това кога UAC ще се намесва. Контролът се осъществява единствено чрез слайдер между четири опции (или нива на защита) започващи от Always Notify me (нивото на UAC защита, което Windows Vista предоставяше по подразбиране) и стигащи до Never Notify me (пълно изключване на съобщенията от UAC).
Вградената поддръжка на скенер за разпознаване на отпечатъци
Голям брой потребители, така конфигурират Windows, че при зареждането му автоматично да влизат в ОС без използването на потребителско име или парола - което е еквивалента на това да оставите входната врата на дома си широко отворена с голям неонов надпис над нея "Свободно е, влизайте!". Разбира се, винаги бихме ви препоръчали не просто да имате парола за влизане в Windows, но и да е достатъчно дълга и комплексна (което автоматично изключва рожденната ви дата или трите ви имена), въпреки че паролите са сигурни дотогава докато не бъдат кракнати, т.е. въпросът не е "дали?", a "кога?". Е, можем да кажем, че Windows 7 добавя още един стабилен ред от тухли в защитата ви с вградената си система за биометрична сигурност, под формата на скенер за пръстови отпечатъци. А дори по-важното е, че съвместимостта на драйвърите между отделните хардуерни платформи е напълно адекватна. Конфигурирането и използването на четеца за пръстови отпечатъци с Windows 7 за влизане в ОС, а също и за ауторизация на потребители изискващи достъп до определи приложения, услуги и уеб сайтове е доволно елементарна. Това което трябва да направите е в Control Panel-а да намерите Biometric Devices, за да активирате конзолата за менажиране на данните от пръстовите отпечатъци и настройка на биометричните функции. Имайте предвид, че ако четецът на отпечатъци не е конфигуриран, статусът му ще е "Not Enrolled" - кликнете на него, за да активирате конзолата.
Голям брой потребители, така конфигурират Windows, че при зареждането му автоматично да влизат в ОС без използването на потребителско име или парола - което е еквивалента на това да оставите входната врата на дома си широко отворена с голям неонов надпис над нея "Свободно е, влизайте!". Разбира се, винаги бихме ви препоръчали не просто да имате парола за влизане в Windows, но и да е достатъчно дълга и комплексна (което автоматично изключва рожденната ви дата или трите ви имена), въпреки че паролите са сигурни дотогава докато не бъдат кракнати, т.е. въпросът не е "дали?", a "кога?". Е, можем да кажем, че Windows 7 добавя още един стабилен ред от тухли в защитата ви с вградената си система за биометрична сигурност, под формата на скенер за пръстови отпечатъци. А дори по-важното е, че съвместимостта на драйвърите между отделните хардуерни платформи е напълно адекватна. Конфигурирането и използването на четеца за пръстови отпечатъци с Windows 7 за влизане в ОС, а също и за ауторизация на потребители изискващи достъп до определи приложения, услуги и уеб сайтове е доволно елементарна. Това което трябва да направите е в Control Panel-а да намерите Biometric Devices, за да активирате конзолата за менажиране на данните от пръстовите отпечатъци и настройка на биометричните функции. Имайте предвид, че ако четецът на отпечатъци не е конфигуриран, статусът му ще е "Not Enrolled" - кликнете на него, за да активирате конзолата.
Ще можете да сканирате както един от пръстите си за идентификация, така и всички ви десет. Ние ви препоръчваме да сканирате поне три от пръстите си, за да продължите да използвате биометичната защита при евентуален инцидент. Самото записване на отпечатъците е детска игра - изберете пръста, чийто отпечатък желаете да запишете и поставете същия върху пръстовия четец (или бавно прокарайте пръста си по четеца, в зависимост от хардуера, с който разполагате). Вземете под внимание това, че всеки пръст трябва да бъде сканиран успешно поне три пъти, за да го регистрирате в базата от данни.
Защита на информацията
Безчет компютри и по-специално портативни такива, биват губени или крадени всяка година. Ако нямате необходимата защита, всеки добрал се до машината ви, ще има неограничен достъп до деликатната информация, която може да съдържа. Рискът от загубата на подобна информация е още по-сериозен, ако я пазите на все по-масовите дребни и лесно губещи се USB флаш устройства.
В случая, Windows 7 наследява от Vista няколко от ключовите технологии за защита на информацията, като EFS (Encrypting File System - криптира файлове чрез асиметрични алгоритми) и AD RMS (Active Directory Rights Management Services - система за криптиране на документи, електронна поща и уеб страници, ефективно използвана от корпоративни клиенти). В допълнение към минорните подобрения на гореизброените, Windows 7 пристигна и с ъпгрейдната BitLocker система, включително добавяйки BitLocker To Go за криптирането на преносими носители.
Криптирането с BitLocker
Първо, нека си припомним идеята зад системата BitLocker. Дебютирала с Windows Vista, функцията й е да шифрова автоматично всеки файл - от различни видове документи до пароли - който се записва на конкретен дял от твърдият диск (преди Service Pack 2 това беше възможно единствено за дяла, където е инсталирана ОС). С Windows 7, основният недостатък на технологията - липса на функция за защита на информация записана на преноси носител - е вече в миналото и на лице е BitLocker To Go, която заключва така лесно губещите се USB флашки и външни HDD.
Друг недостатък на BitLocker беше, че дяловете на твърдия диск трябваше да преминат през подготовка преди да се стартира системата. Освен дяла на който е инсталирана ОС, Windows изисква наличието и на по-малък некриптиран такъв (не притежаващ буква, която да се види в My Computer), където се съдържат основните системни файлове, необходими за стартирането на компютъра и идентифицирането на потребителя при достъп до криптираните дялове. Тази подготовка и преразпределяне се извършваше ръчно под Vista, с помощта на специален инструмент, наречен BitLocker Drive Preparation Tool (целият процес, можете да проследите на този адрес - http://support.microsoft.com/kb/933246). Тези главоболия са ни спестени с Windows 7, при който споменатата процедура се извършва автоматично от съветника на BitLocker.
След като твърдият ви диск е настроен за работа с BitLocker, то нека бъде криптиран! В Control Panel-а кликнете на BitLocker Drive Encryption. Конзолата на BitLocker ще ви изведе всички налични дялове и настоящето им състояние (дали BitLocker ги защитава или не). Обърнете внимание, че дяловете на твърдия диск, които предстоят да бъдат криптирани с BitLocker са отделени от портативните устройства, които ще бъдат защитени от BitLocker To Go. Вашата е работа е единствено да натиснете "Turn on BitLocker" срещу онзи дял, за който желаете да стартирате процеса по криптиране.
Системата ще ви попита за парола, с която да отключите шифрованата информация, а след това ще трябва да запазите и т. нар. BitLocker Recovery Key под формата на текстов файл - същият ще ви послужи, ако забравите паролата.
Първо, нека си припомним идеята зад системата BitLocker. Дебютирала с Windows Vista, функцията й е да шифрова автоматично всеки файл - от различни видове документи до пароли - който се записва на конкретен дял от твърдият диск (преди Service Pack 2 това беше възможно единствено за дяла, където е инсталирана ОС). С Windows 7, основният недостатък на технологията - липса на функция за защита на информация записана на преноси носител - е вече в миналото и на лице е BitLocker To Go, която заключва така лесно губещите се USB флашки и външни HDD.
Друг недостатък на BitLocker беше, че дяловете на твърдия диск трябваше да преминат през подготовка преди да се стартира системата. Освен дяла на който е инсталирана ОС, Windows изисква наличието и на по-малък некриптиран такъв (не притежаващ буква, която да се види в My Computer), където се съдържат основните системни файлове, необходими за стартирането на компютъра и идентифицирането на потребителя при достъп до криптираните дялове. Тази подготовка и преразпределяне се извършваше ръчно под Vista, с помощта на специален инструмент, наречен BitLocker Drive Preparation Tool (целият процес, можете да проследите на този адрес - http://support.microsoft.com/kb/933246). Тези главоболия са ни спестени с Windows 7, при който споменатата процедура се извършва автоматично от съветника на BitLocker.
След като твърдият ви диск е настроен за работа с BitLocker, то нека бъде криптиран! В Control Panel-а кликнете на BitLocker Drive Encryption. Конзолата на BitLocker ще ви изведе всички налични дялове и настоящето им състояние (дали BitLocker ги защитава или не). Обърнете внимание, че дяловете на твърдия диск, които предстоят да бъдат криптирани с BitLocker са отделени от портативните устройства, които ще бъдат защитени от BitLocker To Go. Вашата е работа е единствено да натиснете "Turn on BitLocker" срещу онзи дял, за който желаете да стартирате процеса по криптиране.
Системата ще ви попита за парола, с която да отключите шифрованата информация, а след това ще трябва да запазите и т. нар. BitLocker Recovery Key под формата на текстов файл - същият ще ви послужи, ако забравите паролата.
След като процесът по криптиране стартира, ще можете да ползвате Windows-а нормално, тъй като системата ще шифрова информацията на заден план. Тук е важно да споменем, че след като съответния дял бъде криптиран, ако кликнете на Manage BitLocker, ще можете да зададете автоматично отключване на шифрираните файлове при стартирането на Windows-а.
Използването на BitLocker без TPM
По подразбиране BitLocker изисква наличието на TPM (Trusted Platform Module - специален криптопроцесор) чип за помещаването на криптираните записи, както и за спомагането процеса по шифриране и дешифриране на BitLocker-защитените данни. Подобни чипове обаче започнаха да навлизат наскоро и болшинството от настолни и портативни машини нямат TPM. Но не всичко е загубено. От Microsoft са включили възможността да използвате BitLocker Drive Encryption без наличието на TPM, като за целта ще трябва да изпълните следните стъпки: кликнете върху логото на Windows (бутона Start) -> в полето Search Programs and Files въведете gpedit.msc и натиснете Enter -> под Computer Configuration, намерете Administrative Templates, Windows Components, BitLocker Drive Encryption, Operating System Drives -> двоен клик на Require additional authentication at startup option -> изберете Enabled и сложете отметка на Allow BitLocker without a compatible TPM -> OK.
По подразбиране BitLocker изисква наличието на TPM (Trusted Platform Module - специален криптопроцесор) чип за помещаването на криптираните записи, както и за спомагането процеса по шифриране и дешифриране на BitLocker-защитените данни. Подобни чипове обаче започнаха да навлизат наскоро и болшинството от настолни и портативни машини нямат TPM. Но не всичко е загубено. От Microsoft са включили възможността да използвате BitLocker Drive Encryption без наличието на TPM, като за целта ще трябва да изпълните следните стъпки: кликнете върху логото на Windows (бутона Start) -> в полето Search Programs and Files въведете gpedit.msc и натиснете Enter -> под Computer Configuration, намерете Administrative Templates, Windows Components, BitLocker Drive Encryption, Operating System Drives -> двоен клик на Require additional authentication at startup option -> изберете Enabled и сложете отметка на Allow BitLocker without a compatible TPM -> OK.
5 неща, които трябва да знаете за сигурността на Windows 7
1. Защитата на ядрото
Ядрото е същината и сърцето на операционната система, което автоматично го превръща в основната цел за зловредния софтуер. Накратко, ако атакуващият достигне до ядрото, така че да манипулира системните файлове, ще може и да пусне зловреден код на ново, което няма да може да се засече от другите приложения, а дори и от самата ОС. Затова, от Microsoft са разработили специална защита за ядрото, предотвратяваща атаките още в зародиш.
Освен това, още в началото на материала ви споменахме за наследствените от Windows Vista функции на сигурността, като ASLR, DEP, MIC и Kernel Patch Protection, с което ядрото на Windows 7 лесно може да се определи като най-добре защитеното в дългогодишната история на ОС.
2. По-безопасно сърфиране в Интернет
Windows 7 акустира с последната и спокойно можем да кажем най-добра версия на Internet Explorer, IE8. Можете да свалите и използвате свободно IE8 и с другите версии на Windows, но съдържа някои съществени подобрения в сигурността, които няма как да не споменем. Като начало, InPrivate Browsing ще ви позволи да сърфирате... насаме, както подсказва името. Когато стартирате прозореца InPrivate Browsing, Internet Explorer няма да запазва каквато и да е информация свързана с браузването ви. Това означава, че няма кеш съдържащ информация за написаното от вас, нито история на посетените сайтове. А това е изключително полезна функция, особено ако използвате IE8 от публичен компютър или просто не желаете някой да разбере какво сте разглеждали в Интернет.
Другото подобрение в сигурността на IE8 е т.нар. Protected Mode. Този специален режим, разчита на различните компоненти по сигурността заложени в Windows 7, за да гарантира, че зловреден или неоторизиран код ще бъдат свързани по някакъв начин с браузъра. На практика, Protected Mode предотвратява неща като автоматичното сваляне, което е една от най-честите причини за настаняването на вируси на системата ви, само като посетите определен компрометиран сайт.
3. Защитата която обожаваме да мразим
Точно така - User Account Control е едно от любимите ни неща, които просто обожаваме да мразим, когато стане въпрос за слабостите на Windows Vista. Вече стана ясно, че в Windows 7, UAC изглежда по-добре и е далеч не толкова натрапчив колкото преди. Тук ще споменем още две неща. Първо, не се хвърляйте непременно да изключвате напълно UAC, защото така също ще изключите гореспоменатия Protected Mode на IE8, както и още някои минорни функции от защитата на ОС. Второ, изскачащите съобщения вече не са толкова големи и натрапчиви, така че не се хвърляхте веднага на опцията "Never Notify me", а по-добре се спрете на второто ниво - "Only notify me when programs try to make changes to my computer", така само ще си спестите проблеми, отколкото да си навлечете.
1. Защитата на ядрото
Ядрото е същината и сърцето на операционната система, което автоматично го превръща в основната цел за зловредния софтуер. Накратко, ако атакуващият достигне до ядрото, така че да манипулира системните файлове, ще може и да пусне зловреден код на ново, което няма да може да се засече от другите приложения, а дори и от самата ОС. Затова, от Microsoft са разработили специална защита за ядрото, предотвратяваща атаките още в зародиш.
Освен това, още в началото на материала ви споменахме за наследствените от Windows Vista функции на сигурността, като ASLR, DEP, MIC и Kernel Patch Protection, с което ядрото на Windows 7 лесно може да се определи като най-добре защитеното в дългогодишната история на ОС.
2. По-безопасно сърфиране в Интернет
Windows 7 акустира с последната и спокойно можем да кажем най-добра версия на Internet Explorer, IE8. Можете да свалите и използвате свободно IE8 и с другите версии на Windows, но съдържа някои съществени подобрения в сигурността, които няма как да не споменем. Като начало, InPrivate Browsing ще ви позволи да сърфирате... насаме, както подсказва името. Когато стартирате прозореца InPrivate Browsing, Internet Explorer няма да запазва каквато и да е информация свързана с браузването ви. Това означава, че няма кеш съдържащ информация за написаното от вас, нито история на посетените сайтове. А това е изключително полезна функция, особено ако използвате IE8 от публичен компютър или просто не желаете някой да разбере какво сте разглеждали в Интернет.
Другото подобрение в сигурността на IE8 е т.нар. Protected Mode. Този специален режим, разчита на различните компоненти по сигурността заложени в Windows 7, за да гарантира, че зловреден или неоторизиран код ще бъдат свързани по някакъв начин с браузъра. На практика, Protected Mode предотвратява неща като автоматичното сваляне, което е една от най-честите причини за настаняването на вируси на системата ви, само като посетите определен компрометиран сайт.
3. Защитата която обожаваме да мразим
Точно така - User Account Control е едно от любимите ни неща, които просто обожаваме да мразим, когато стане въпрос за слабостите на Windows Vista. Вече стана ясно, че в Windows 7, UAC изглежда по-добре и е далеч не толкова натрапчив колкото преди. Тук ще споменем още две неща. Първо, не се хвърляйте непременно да изключвате напълно UAC, защото така също ще изключите гореспоменатия Protected Mode на IE8, както и още някои минорни функции от защитата на ОС. Второ, изскачащите съобщения вече не са толкова големи и натрапчиви, така че не се хвърляхте веднага на опцията "Never Notify me", а по-добре се спрете на второто ниво - "Only notify me when programs try to make changes to my computer", така само ще си спестите проблеми, отколкото да си навлечете.
4. Инструменти и приложения по сигурността
Заради защитата на ядрото на ОС и промените, които направиха от Microsoft по отношение на това как софтуера си взаимодейства с основните функции на ОС, по-старите антивирусни програми и подобните приложения насочени към сигурността не са съвместими с Windows 7. Производители като McAfee, Symantec, Trend Micro и други предлагат Windows 7 съвместими версии на антивирусните си продукти, но е редно да споменем, че редмъндци също предоставят инструменти по сигурността, при това напълно безплатни такива. Windows Firewall и Windows Defender са антишпионски инструменти, включени в базовата инсталация на Windows 7. А Microsoft Security Essentials (можете да свалите от http://www.microsoft.com/Security_Essentials) е наскоро появил се безплатен антивирусен софтуер, разработен директно от Microsoft.
5. Предупрежденията на Action Center
Потребителите на Windows XP са добре запознати с функцията Security Center (съдържаща защитна стена, уведомяваща за ъпдейти на ОС и наглеждаща статуса на сигурността на ОС), която в Windows 7 е заменена от Action Center. Това е по-усъвършенствана конзола за наблюдение на състоянието на Windows 7, включително и сигурността му. Action Center включва информация за защитната стена, шпионския софтуер, антивирусния софтуер, състоянието на Windows Updates, настройките по сигурността на Интернет връзката, че дори и данни за UAC. Накратко, предупрежденията са в широк спектър, често са важни, но това може да подразни някои от вас. Затова ето и какви стъпки трябва да предприемете, за да изключите Action Center: Start -> Control Panel -> изберете линка All Control Panel Items -> отворете System Icons -> под Alert Center, изберете от падащото меню Behaviour "Off" -> OK.
Ако желаете да премахнете иконата на Alert Center от таскбара (знамето до часовника), то направете следното: кликнете върху стрелката в system tray -> в новопоявилият се прозорец изберете Customize -> намерете Action Center и задайте Hide icon and notifications -> махнете отметката от Always show all icons and notifications, позиционирано в края на прозореца -> OK.
Минусите в защитата на Windows 7
Всеки трябва да е наясно, че перфектна ОС няма, няма и да има. Същото с пълна сила се отнася и за сигурността й. Нека разгледаме някои от слабите страни в защитата на Windows 7, които вероятно ще бъдат оправени с някои от предстоящите сервизни пакети или ще останат директно за Windows 8.
1. Защитната стена
Windows Firewall е пътека, по която Microsoft извървяха дълъг, дълъг път с идеята си операционната система да има вградена, стабилна защитна стена. Едно от основните оплаквания още в първата версия на Windows Firewall беше, че е ограничена единствено до входящият трафик и не предоставя никакъв защитен механизъм за блокиране или поне филтриране на изходящият трафик. Е, от Microsoft през годините се бориха с този проблем, но приложението си остана крайно ограничено откъм функционалност и не случайно заема адски малко системни ресурси - просто не включва достатъчно опции. Това е област, в която все още очакваме Microsoft да напипат баланса между сигурността и производителността, между функциите и практичната им употреба, но вероятно ще трябва да изчакаме следващата версия на Windows за подобни съществени корекции.
2. Скриването на файловите разширения
По подразбиране, файловите разширения в Windows са скрити. С други думи, наместо да се изписва пълното име на файла "pcworld.docx", ОС показва единствено "pcworld". Идеята е потребителя да не се затормозява излишно с файлови разширения, като "docx", "xls", "mp3", а и при преименуване или копиране името на файл, винаги има поне едно движение в повече, при което трябва да отделиш текста от името на разширението. От друга страна, това е пробив в сигурността, тъй като така се улесняват троянците по електронните пощи, които използват двойни разширения и заблуждават потребителя да клика върху тях.
3. XP Mode Virtualization
Виртуалната поддръжка на Windows XP през Windows 7 може да се окаже крайно полезна, когато става въпрос за стар хардуер или софтуер, който не работи на новата ОС. Разбира се системата може да бъде ъпгрейдната до Windows 7, но несъвместимият софтуер или хардуер, могат да функционират единствено през виртуалната Windows XP среда. Това което ни притеснява в случая е, че става въпрос за Windows XP среда, която по никакъв начин не е защитена от Windows 7 и следователно изисква отделен, самостоятелен антивирусен надзор. А по подразбиране Windows "чертае" дяловете на твърдия диск от виртуалният XP към Windows 7, което сами разбирате е идеална предпоставка за прехвърляне и заразяване със зловреден софтуер.
4. Податливост на атаки без антивирусен софтуер
Според наскоро провело се независимо проучване, сигурността на Windows 7 е била подложена на изпитание срещу 10 уникални и сравнително нови вируси. Windows 7 е бил със свежа инсталация, всички системни настройки по подразбиране, не включващ никакъв допълнителен антишпионски или антивирусен софтуер. Резултатите на пръв поглед са особено притеснителни - 8 от 10-те софтуерни гадини са се загнездили успешно в системата. Изводът? Колкото и сигурна да е една ОС (независимо от машината и платформата) сама по себе си, без допълнителен антивирусен софтуер - бил той и безплатен от калибъра на Microsoft Security Essentials - трудно може да устои на вирусните атаки.
За мнозина Windows Vista потребители, може да прозвучи като богохулство, но Windows 7 наистина има потенциала да задмине предшественика си по отношение на сигурността. Не, не бива да оставате с впечатлението, че Windows 7 е съвършената ОС или най-сигурната ОС създавана някога, но отвъд маркетинговите трикове и PR етикетите нека си припомним следното: XP започна да набира главоломна скорост по всички възможни параграфи едва след Service Pack 2; Vista започна да се харесва много повече след вторият й сервизен пакет, също. А понастоящем, позитивите около Windows 7 са повече от негативите, още преди да сме станали свидетели на първия сервизен пакет за тази платформа.
В крайна сметка, нека теглим чертата - можем ли да заявим, че Windows 7 е най-защитеният Windows правен някога? Все още не е. Microsoft обаче са насочили операционната си система в правилната посока и очакваме след Service Pack 1, Windows 7 да стане дори по-добра.
Изготвил : Владимир Георгиев
Списание : Pcworld
