HPUNIX Сайт о ОС и не только!

Что необходимо знать о разработках безопасности в Windows 8

19 июня 2013 - unix
Перечисленные ниже функции будут доступны во всех версиях Windows – и в домашней Windows 8, и в деловых Pro и Enterprise.

Поддержка UEFI Secure Boot

Несмотря на противоречивые мнения по поводу этой технологии в связи с потенциальными проблемами, которые она способна создавать в определенных сценариях, Secure Boot – очень важный компонент безопасности в новой версии Windows. UEFI (Unified Extensible Firmware Interface, унифицированный расширяемый интерфейс прошивки, текущая версия – 2.3.1) призван заменить собой традиционный BIOS (Basic Input Output System, базовая система ввода/вывода) в качестве интерфейса микропрограммного обеспечения компьютера нового поколения. Функция Secure Boot способна обеспечить исключительно надежную защиту Windows 8 от низкоуровневого вредоносного ПО типа руткитов. При использовании Secure Boot операционная система проверяет цифровые подписи всех загружаемых компонентов вплоть до драйвера антивирусного ПО, чтобы выявить попытки их злонамеренного изменения. Если компонент не имеет действительной подписи (то есть был изменен), загружается среда восстановления Windows (Windows Recovery Environment), которая пытается вернуть операционную систему к нормальному состоянию. Руткиты, как правило, изменяют ключевые системные файлы и активизируются еще при загрузке системы, до включения антивирусной защиты. Secure Boot обнаруживает любые изменения такого рода и предотвращает загрузку руткита. При развертывании Windows 8 на предприятии стоит включить эту функцию и запретить пользователям ее отключать.

Фильтр SmartScreen

Технология SmartScreen дебютировала в составе Internet Explorer, а теперь распространяется на всю операционную систему. По результатам испытаний NSS Labs, эта технология оказалась самой эффективной по сравнению с функциями безопасности других браузеров в том, что касается обнаружения и блокирования вредоносного ПО, распространяемого методами социальной инженерии. SmartScreen использует систему оценки репутации URL-адресов и файлов/приложений. Система оценки репутации URL-адресов призвана защитить пользователя от фишинга и атак, использующих принципы социальной инженерии. Система оценки репутации файлов отслеживает все загрузки и проверяет их репутацию. Если файл распознается как вредоносный, он блокируется, а на экран выводится вот такое предупреждение:

Что нужно знать о технологиях безопасности в Windows 8
Рисунок A. Нажмите на изображении для увеличения.

Если это новый файл или системе он не знаком, появляется следующее предупреждение:

Что нужно знать о технологиях безопасности в Windows 8
Рисунок B. Нажмите на изображении для увеличения.

При загрузке неизвестных файлов пользователь может проигнорировать эти предупреждения и все равно запустить файл, но у администратора есть возможность запретить игнорирование предупреждений.

Встроенный антивирус/Защитник Windows

В состав Windows 8 будет входить полноценное антивирусное решение: у Защитника Windows (Windows Defender) появятся антивирусные функции решения Microsoft Security Essentials. Новая версия Защитника также будет обладать повышенной производительностью при уменьшенном потреблении оперативной памяти и ресурсов процессора. В компаниях, правда, вместо этого все же стоит использовать полноценное антивирусное решение. Корпоративным пользователям уже пора поинтересоваться у вендоров своих избранных антивирусов, планируют ли они поддерживать Windows 8: совместимое антивирусное ПО в сочетании с функцией Secure Boot будет быстрее запускаться при загрузке системы, что уменьшит количество потенциальных «мертвых зон» в покрытии защиты.

Графический пароль

Графический пароль (Picture Password) – это новый сенсорный механизм входа в систему, позволяющий использовать любую фотографию по выбору пользователя и три сенсорных жеста на ее основе. Система сохраняет последовательность жестов в качестве пароля и позволяет использовать их для входа в систему. Привязка жестов к определенному изображению повышает надежность защиты. К примеру, можно выбрать фотографию, на которой запечатлены два человека, обвести улыбку на лице одного и прикоснуться к каждому глазу второго. Теоретически, это очень интересная альтернатива традиционным паролям, но надежность этой системы еще предстоит проверить на практике.

Windows Reader

Любопытное нововведение с точки зрения безопасности – Windows Reader, новый встроенный просмотрщик документов, который входит в состав Windows 8. Программа поддерживает PDF – формат, весьма популярный для вирусных атак. Включение в состав системы легкого просмотрщика, регулярно получающего исправления безопасности в ходе автоматического обновления Windows, теоретически способно повысить защищенность платформы, избавив от необходимости использовать потенциально незащищенные приложения и плагины.

ASLR и борьба с эксплойтами

Технология Address Space Layout Randomization (ASLR) была впервые реализована в Windows Vista и представляет собой, по сути, способ борьбы с печально знаменитыми уязвимостями типа переполнения буфера путем произвольного изменения расположения кода и данных в памяти. В Windows 8 степень рандомизации повышена для борьбы с известными технологиями, позволяющими обойти ASLR. В числе других нововведений – усовершенствование ядра Windows и другие улучшения, включая новую проверку целостности и рандомизацию по принципу, схожему с ASLR. Изменения внесены и в Internet Explorer 10: помимо изолированной среды «Расширенный защищенный режим» (Enhanced Protected Mode), появилась новая функция «ForceASLR», которая рандомизирует все модули, загруженные в память браузером, даже если в этих модулях не используется ASLR (разработчики могут создавать модули, использующие ASLR, включая в них опциональный флаг /DYNAMICBASE).

Технологии безопасности в Windows 8 Pro

Перечисленные ниже функции будут доступны только в коммерческих версиях Windows 8 Pro и Enterprise.

BitLocker и BitLocker To Go

BitLocker – это средство полнодискового шифрования, которое впервые появилось в Windows Vista и было распространено на портативные накопители в виде функции BitLocker To Go в Windows 7. В Windows 8 изменения по сравнению с предыдущей версией незначительные, но появилась возможность сохранения резервной копии ключа шифрования BitLocker To Go в облачное хранилище SkyDrive.

Шифрованная файловая система

Шифрованная файловая система (Encrypting File System, EFS) – оригинальное решение Microsoft, предназначенное для шифрования отдельных дисков, папок или файлов. Она впервые появилась почти двадцать лет назад в семействе продуктов Windows NT, но сегодня отошла на второй план из-за BitLocker, BitLocker To Go и других бесплатных шифровальных альтернатив.

Подключение к домену и объекты групповой политики

Как обычно, эти две функции являются одним из главных отличий бизнес-версии Windows от потребительской. Возможность подключения к домену Active Directory жизненно необходима в централизованно управляемой среде. Администраторы могут создавать и применять к членам домена объекты групповой политики, контролируя таким образом различные аспекты их деятельности, включая защиту. В Windows 8 появился ряд новых политик:

Что нужно знать о технологиях безопасности в Windows 8
Рисунок C. Нажмите на изображении для увеличения.

Функции безопасности в Windows 8 Enterprise

Наконец, организации, заключившие с Microsoft соглашение уровня Software Assurance получат доступ к версии Windows 8 Enterprise, которая включает следующие технологии безопасности:

AppLocker

AppLocker – решение Microsoft для управления приложениями. Оно впервые появилось в Windows 7 и позволяет работать с черными или белыми списками приложений. При помощи AppLocker администратор может создавать политики, запрещающие или разрешающие пользователям установку или запуск определенных приложений. В Windows 8 появилась возможность управлять таким образом и традиционными настольными программами, и новыми Metro-приложениями.

DirectAccess

Microsoft предлагает DirectAccess в качестве альтернативы VPN для безопасного подключения компьютеров к корпоративным сетям. DirectAccess не требует использования дополнительных приложений для подключения и помогает организациям обеспечивать соответствие удаленных или мобильных компьютеров принятым требованиям за счет прозрачного применения политик и установки обновлений. По сравнению с предыдущей версией решения, реализованной в Windows 7, особых изменений в Windows 8 не произошло.

Windows To Go

Сотрудники все чаще используют на работе свои собственные устройства, и в этих условиях Microsoft предлагает новое решение Windows To Go – полностью управляемый корпоративный образ Windows 8, который можно установить на внешний USB-накопитель и запускать на любом 64-разрядном компьютере, вне зависимости от подключения к сети. Полный корпоративный образ системы может включать все необходимые функции управления, в том числе политики автоматического обновления Windows, корпоративные антивирусные решения и BitLocker. Пока Windows To Go работает только на USB-накопителях объемом не меньше 32 Гбайт и только с 64-разрядными компьютерами. Несмотря на ограничения, это решение может очень пригодиться во многих сценариях, в том числе в организациях, озабоченных безопасностью пользовательских устройств, а также для восстановления в случае катастрофы.

Автор: Alfonso Barreiro
Перевод SVET

ДАТА ПУБЛИКАЦИИ МАТЕРИАЛА: 1 авг 2012

Данный материал подготовлен сайтом: www.winblog.ru

Похожие статьи:

АдминистрированиеСпособности архивации и восстановления данных

АдминистрированиеVirtual PC 2007 плюсы и недочеты

Windows ServerВарианты развертывания Windows Server 2008 R2

АдминистрированиеLinux против Windows на домашнем компьютере

АдминистрированиеВиртуализация приложений при помощи Microsoft App-V и MED-V

Рейтинг: +172 Голосов: 463 1899 просмотров
Комментарии (0)

Нет комментариев. Ваш будет первым!

Найти на сайте: параметры поиска

Windows 7

Среда Windows 7 на первых порах кажется весьма непривычной для многих.

Windows 8

Если резюмировать все выступления Microsoft на конференции Build 2013.

Windows XP

Если Windows не может корректно завершить работу, в большинстве случаев это

Windows Vista

Если к вашему компьютеру подключено сразу несколько мониторов, и вы регулярно...