Чтение онлайн

Регистрация приложений (Application Registration). Агент безопасности данной области постоянно наблюдает за инструментами и файлами операционной системы, где приложения регистрируются с целью загрузки.

Ну что, прокомментировать вышеописанное можно было бы лихо, сказать же следует лишь следующее: то, что раньше было прерогативой антивируса и (частично) межсетевого экрана, теперь вобрал в себя этот самый Защитник Windows. Плохо это или хорошо, мы не будем обсуждать в рамках данной книги, но то, что комплексный продукт вместо нескольких может быть потенциально более уязвим, – очевидный факт.

Под

сборным названием WindowsServiceHardening подразумевается система безопасности, основной концепцией которой является принцип «ограниченных служб» (restricted services), которые загружаются с минимальными привилегиями; их влияние на компьютер и Сеть, таким образом, ограничено.

Большинство из служб в системе запускается под учетной записью LocalSystem, что аналогично правам администратора, и если снова вспомнить правило: "вредоносный код может все то, что могут пользователь и служба", становится вполне понятно, от чего WindowsServiceHardening пытается спасти нашу операционную систему.

В качестве примера, пожалуй, уместно привести такие "заразы", как Slammer, Blaster и Sasser, которые атаковали систему, используя именно системные службы, запущенные с высокими привилегиями.

Радует и то, что данная система защиты координирована с улучшенным (по заверениям корпорации) брандмауэром Windows. Теперь, если служба или сервис попытается использовать недозволенный ей порт для отправки или получения чего-либо, межсетевой экран заблокирует эту попытку.

Ну что ж, очень даже неплохо, особенно по сравнению с предыдущим встроенным брандмауэром Windows, который к исходящему трафику был "мертв" вообще.

Не секрет, что в предыдущих версиях Windows абсолютное большинство из создаваемых учетных записей являлось членом локальной группы Администраторы.

Как можно отказаться от функциональности, заменив ее ограниченной учетной записью, которая сокращает и без того невысокую продуктивность работы: ведь такие базовые задачи, как изменение системного времени, присоединение к безопасной беспроводной сети или установка драйвера принтера, требуют административных привилегий? Действительно.

Выход из этой, казалось бы, безвыходной ситуации Microsoft нашла, внедрив в Windows Vista User Account Control (UAC). Это новый подход, согласно которому все операции в системе подразделяются на две категории:

операции, которые может выполнять пользователь со своими стандартными правами;

операции, которые требуют административных привилегий.

Применение нового подхода, несомненно, выводит уровень безопасности операционной системы на новую черту, в то же самое время предоставляя пользователям с обычными неадминистраторскими привилегиями большинство каждодневных функций. UAC значительно расширяет список стандартных возможностей пользователя путем включения в него множества базовых функций, которые не несут риска нарушения безопасности, хотя раньше требовали привилегий администратора. К этим новым функциям можно отнести следующие:

изменение временной зоны;

установку новых шрифтов;

изменение настроек экрана;

настройку системы управления питанием;

добавление принтера и других устройств, при условии что драйверы для них уже установлены в системе;

просмотр календаря и системного времени;

загрузку и установку обновлений при условии использования UAC-совмести-мого инсталлятора;

создание и настройку VPN-соединения;

установку WEP (Wired Equivalent privacy) для соединения с защищенной беспроводной сетью.

Помимо прочего, UAC контролирует доступ к возможной конфиденциальной информации в папке Мои документы. Теперь если пользователь не является создателем файла, то ни прочесть, ни изменить, ни удалить он его не сможет.

Рассмотрев основные особенности User Account Control, позвольте все это справедливо прокомментировать.

И первое, что сразу же хочется сказать, – так это "лучше поздно, чем никогда". К чему это мы? Да все, вероятно, к тому, что подобная политика безопасности с ограничением прав, пользовательскими каталогами, правами доступа к файлам и прочими chown и chmod уже сколько десятилетий практикуется в UNIX-системах. Создатели Windows Vista, видимо, всерьез решили перенять прогрессивный опыт UNIX-систем. Ну наконец-то!

Последним нововведением, которое мы кратко рассмотрим, будет BitLocker Drive Encryption – инструмент, позволяющий защитить конфиденциальную информацию на диске путем ее шифрования:

технология обеспечивает конфиденциальность информации в случае кражи диска и/или несанкционированного доступа, что достигается передовыми алгоритмами шифрования;

BitLocker позволяет изменить стандартный процесс загрузки операционной системы, проверяя подлинность пользователя через USB-устройство с ключами дешифрования;

применение BitLocker гарантирует загрузку только оригинальных системных файлов при старте системы – иначе система просто не загрузится.

Комментируя вышеописанное, хотелось бы заметить, что BitLocker Drive Encryption будет исключительно полезен в корпоративных версиях Vista – на серверах, требующих двухфакторной аутентификации. Что же касается домашних машин, то здесь он будет скорее лишним, если только пользователь вдруг не захочет поиграть в Джеймса Бонда.

Следует отметить, что вышеперечисленное – лишь основные технологии защиты Windows Vista. Более подробную информацию относительно новой NT 6.0 можно узнать на официальном сайте производителя.

Ну что ж, вот, собственно, и настал момент истины, чтобы подвести окончательные итоги рассмотренному и вынести справедливый вердикт. Исходя из имеющихся данных, можно с уверенностью заявить, что корпорация сделала существенный шаг на пути усиления системы безопасности своей новой операционной системы. Многие из технологий защиты реализованы аппаратно, что можно считать значительным прорывом в области обеспечения безопасности системы. Акцент, сделанный на защиту ядра, неслучаен: современные тенденции развития вредоносного ПО смещаются в сторону руткитов. Введение гибких инструментов ограничения прав и доступа наталкивает на мысль, что корпорация всерьез решила перенять прогрессивный опыт UNIX-систем.

Резюмируя, можно сказать, что в целом система безопасности Windows Vista производит очень даже неплохое впечатление, и это несмотря на имеющиеся в настоящее время инструменты взлома.

Защита детей в Сети

Горячий FAQ

Полезные ссылки

Данная глава посвящена безопасности детей в Интернете. Здесь представлены элементарные правила посещения Сети детьми, ответы на наиболее часто задаваемые родителями вопросы, касающиеся данной темы, а также электронные адреса организаций, занимающихся вопросами защиты детей.