Наступило 22 октября, и вот Windows 7 уже на рынке. Microsoft явно надеется, что функции безопасности в новой ОС будут привлекательны для организаций.
Система защиты Windows 7 включает три компонента, о которых уже не раз говорилось: DirectAccess, BitLocker To Go и AppLocker. Благодаря этим и другим средствам, таким как BranchCache и расширения UAC (контроль учетных записей пользователя), новая ОС является самой защищенной из всех когда-либо выпущенных Microsoft версий, утверждает компания.
“Windows 7 построена на фундаменте защиты Vista и сохранила в себе все основные технологии: брандмауэр, Windows Defender, контроль учетных записей пользователя, — рассказал Пол Кук, директор группы Windows Client Enterprise Security. — Мы не только расширили эти функции безопасности, но и, прислушавшись к мнению заказчиков, с самого начала включили их в процесс разработки Windows 7, чтобы предложить новаторские технологии защиты”.
Часть таковых реализована в DirectAccess. Этот инструмент основан на протоколе IPv6 и работает в среде Windows Server 2008 R2, обеспечивая защищенный доступ к ресурсам корпоративной сети через Интернет без VPN. Он использует технологию IP Security для шифрования данных и аутентификации пользователя и интегрируется со средствами NAP (защита сетевого доступа), чтобы проверять соблюдение требований, прежде чем разрешить клиентским компьютерам подключиться к внутренним ресурсам сети.
“Многие работают вне офиса, и необходимость защиты удаленного доступа к ресурсам корпоративной сети, например с помощью VPN, создает дополнительные сложности, — пояснил Кук. — Кроме того, администраторам труднее контролировать эти мобильные ПК. DirectAccess представляет собой новую функцию, помогающую решить обе проблемы. Она позволяет легко входить на сайты интрасети или в корпоративные общие каталоги и вызывать документы откуда угодно, не устанавливая вручную VPN-соединение”.
Организации, которые перейдут на Windows 7, могут также рассчитывать на AppLocker, с помощью которого администраторы могут через групповые политики (Group Policy) задавать, какие приложения, программы установки и скрипты разрешено запускать пользователям. А режим Audit Only Enforcement даёт возможность указывать, какие приложения будут использоваться в организации, и тестировать правила до их введения.
“AppLocker вводит также правила с использованием цифровой подписи, которые будут действовать и после обновления приложений, — сказал Кук. — К примеру, вы создаёте правило “разрешить запуск всех версий программы Acrobat Reader старше 9.0, если они подписаны издателем программы Adobe”. И когда Adobe Systems обновит Acrobat, вы в таком случае сможете спокойно развертывать это обновление, не создавая новое правило для новой версии”.
Аналитик из Gartner Джон Пескейтор указывает на пользу “белых списков” в условиях, когда приходится иметь дело со всё растущим количеством вредоносных программ.
“Я думаю, контроль приложений и “белый суперсписок” довольно новы в Windows 7 и будут эффективны в плане защиты, — говорит он. — У нас нет недостатка в “черных списках”, и мы знаем, что полная блокировка не работает. Гарантия того, что приложения, которые загружает пользователь, известны как безопасные, а в противном случае возможность ввести для них некие ограничительные политики позволит администраторам повысить защищенность систем, оставив пользователю свободу выбора приложений”.
Довершает картину BitLocker To Go, который шифрует съемные устройства хранения вроде USB-накопителей. С помощью этой функции можно защитить доступ к данным паролем, а также задать политику, требующую обязательного включения защиты BitLocker на таких устройствах, прежде чем на них можно будет что-то записать. Эта функция включает также конфигурируемую поддержку только чтения со съемных устройств в старых версиях Windows, чтобы обеспечить обмен защищенными файлами.
“Аналитики прогнозируют, что к 2010 году в обращении будет находиться свыше миллиарда USB-флэш-дисков, каждый из которых в среднем будет вмещать около 4 Гб данных и стоить меньше 10 долл., — сказал Кук. — Угроза заключается в том, что в отличие от потери ноутбука пользователи вряд ли сообщат, а порой и не заметят пропажи USB-флэшки. В этом случае BitLocker To Go надежно защитит данные, так что можно будет не волноваться”.
Microsoft, которая удерживает значительную долю рынка ОС, подверглась публичным атакам со стороны Apple, которая утверждала, что ее Mac OS X надежно защищена от вредоносных программ в отличие от Windows. Однако на самом деле, утверждает Кук, Apple отстает от Microsoft в данной области.
“Это прекрасно, что Apple совершенствует защиту своей ОС, но она далека от новаторской, — считает он. — Факты свидетельствуют: что касается безопасности, то Apple просто добавляет сейчас в Snow Leopard функции, которые в Windows присутствуют уже годами, к примеру DEP (запрет исполнения для данных) и активный по умолчанию брандмауэр, появившийся в Windows XP SP2 почти пять лет назад, или ASLR (рандомизация нагрузки адресного пространства), введенная вместе с Windows Vista. Все эти средства включены в Windows 7”.
Получить комментарии Apple на момент публикации не удалось.
Однако, говорит Пескейтор, хотя Windows 7 безусловно стала лучше, проблемы остаются.
“В Windows 7 определенно улучшена защита по сравнению с XP, что конечно же сузит пространство атак на Windows-машины, — сказал он. — Но этой ОС приходится работать на самом разнообразном оборудовании, и она должна сохранять совместимость с огромным количеством сторонних приложений, а Mac OS никогда не имела дела с такими проблемами. Так что перед Windows всегда будут стоять особые задачи в области безопасности”.