ОБЗОРЫ
Однако новая функциональность рассчитана больше на индивидуальных, чем на корпоративных пользователей
Одним из главных достоинств Windows Vista, судя по рекламе, является безопасность. Именно на этом сосредоточены сейчас усилия Microsoft, которая всячески стремится обезопасить операционные системы семейства Windows.
И в самом деле, Vista буквально битком набита новыми функциями защиты. Здесь и усиленный межсетевой экран, и встроенные средства для борьбы с программами-шпионами, и утилита шифрования дисков BitLocker, и модуль UAC (User Account Control - контроль над учетными записями пользователей). Вот только рассчитано все это на индивидуальных потребителей. Корпоративным же пользователям, которые нуждаются в межплатформенной функциональности, централизованном управлении и высочайшей надежности, предложенный набор средств безопасности вполне может показаться чем-то вроде новых рюшек на старом платье.
Специалистов eWeek Labs больше всего заинтересовал корпоративный потенциал утилиты BitLocker, которая шифрует все содержимое системного жесткого диска, включая как саму ОС, так и файлы с данными. Эта новинка старается работать совершенно незаметно для пользователя. В идеале криптоключ хранится в специальной микросхеме на системной плате, предназначенной для автоматического дешифрования диска после загрузки машины. Если же администратор настроит BitLocker на использование вводимых вручную пользовательских PIN-кодов, система станет еще безопаснее. Дело в том, что аппаратный криптоключ способен защитить информацию только в тех случаях, когда злоумышленник попытается загрузить машину с другого диска, но не от онлайновых атак на уже загруженный компьютер. Против такой грубой силы нужны дополнительные приемы защиты.
Планировать применение BitLocker нужно еще до начала установки Vista, чтобы по-особому разделить системный жесткий диск: диспетчер и образы загрузки должны быть отделены от самой ОС, приложений и файлов с данными (разделы, конечно, можно перераспределить и впоследствии, но это будет сложнее). Кроме того, администратору следует проверить готовность BIOS компьютера к работе с Vista и убедиться, что на плате установлена микросхема TPM (Trusted Platform Management - доверительное управление платформой) либо, в случае ее отсутствия, предусмотрен доступ к USB-картам памяти, причем еще до загрузки ОС. На сегодняшний день выполнение таких требований выглядит весьма проблематично. История Vista только начинается, поэтому производители оборудования просто не успели обеспечить соответствующего уровня поддержки.
Мастер BitLocker помог нам определить место хранения криптоключа и пароля для восстановления, после чего
запросил разрешение провести проверку системы
Это весьма наглядно показало тестирование. Хотя Vista поставляется со стандартным драйвером TPM, корректно инсталлировать его на ноутбуке Lenovo ThinkPad T60 нам удалось не сразу. Сначала пришлось обновить до новейшей версии BIOS, а затем вручную найти этот драйвер и установить его. Как пояснили инженеры из Microsoft, аппаратный идентификатор имеющейся здесь микросхемы TPM непонятен для Vista, и поэтому система не в состоянии устанавливать драйвер автоматически.
Когда модуль TPM наконец-то включился в работу, мы смогли запустить процесс шифрования жесткого диска. В этом нам помог мастер конфигурации BitLocker, который прежде всего предложил заархивировать криптоключ, а затем проверил систему и удостоверился, что BitLocker будет на ней функционировать. И лишь убедившись, что криптоключ после перезапуска машины обнаруживается, мастер приступил к шифрованию всего жесткого диска. Процесс этот, надо сказать, не быстрый: обработка 30-гигабайтного раздела заняла у нас больше часа. А если учесть, что криптоключи создаются на каждой машине индивидуально, то включение BitLocker на всех корпоративных ноутбуках потребует массу времени и административных усилий.
Для настройки брандмауэра Vista используется почти такой же интерфейс, как и в Windows XP, но правила ICMP
перенесены из него в панель дополнительной конфигурации
Согласно документации, перед обновлением BIOS функцию дешифрования жестких дисков BitLocker необходимо полностью отключить. Для внесения в BIOS простых изменений эту утилиту достаточно временно заблокировать, а тестирование показало, что в некоторых случаях (например, при смене последовательности загрузочных устройств) можно обойтись и без этого.
Но вот когда мы попытались запустить свою машину со вставленным в привод установочным диском Vista, возникли проблемы. Хотя загрузка производилась и не с этого диска, нам все же пришлось вручную ввести ключ восстановления системы - иначе машина напрочь отказывалась запускаться.
Отметим также, что использовать BitLocker можно и без микросхемы TPM. Для этого нужно несколько изменить настройки политики групп, а перед загрузкой вставить в USB-порт карту флэш-памяти с криптоключом (напомним, что доступ к ней должен быть открыт еще до загрузки ОС). На ThinkPad T60, правда, этот прием не удался, но на другой машине, с процессором Athlon 64 3500+ и системной платой фирмы Abit, все прошло без сучка без задоринки.
Антишпионские средства и брандмауэр
В состав Vista входит утилита борьбы с шпионскими программами под названием Windows Defender. Прежние тесты системы позволили нам сделать вывод о том, что это вполне адекватное средство обнаружения, удаления и профилактики подобной заразы. Проверка Vista полностью подтвердила это.
Windows Defender способен создать надежный второй эшелон обороны позади стандартных корпоративных решений антивирусной и антишпионской защиты. Отсутствие в этом модуле централизованного управления политикой, возможностей мониторинга состояния системы и генерации отчетов заставит корпоративных пользователей применять дополнительный инструментарий документирования и контроля - без этого сегодня просто невозможно выполнить множество правил и требований.
Модуль Active Directory Group Policy позволяет управлять лишь несколькими функциями Windows Defender - включать и выключать эту программу, запускать некоторые измерители регистрационных параметров и конфигурировать характеристики отчетности SpyNet. Кроме того, в наших силах было проводить внеплановое сканирование (функция notschedulescans), изменять периодичность проверки обновлений и назначать некоторые формы централизованной отчетности. Все перечисленные операции доступны только на тех машинах, которые работают под управлением Vista, но не прежних версий Windows, даже если там установлено автономное приложение Windows Defender.
| Windows Defender способен создать второй эшелон обороны позади корпоративных решений антивирусной и антишпионской защиты. |
Довести управление и отчетность до корпоративного уровня Microsoft обещает с помощью программного комплекта ForeFront Client Security, выпуск которого намечен на II квартал 2007 г. В нем будут реализованы те же возможности борьбы с программами-шпионами, что и в Windows Defender, а защиту от вирусов обеспечит механизм из состава OneCare (скачать бета-версию ForeFront можно уже сейчас по адресу: www.microsoft.com/ forefront/clientsecurity/default.mspx).
Vista первой из ОС семейства Windows получила на вооружение встроенный двунаправленный межсетевой экран, причем, по нашей оценке, вполне удовлетворительный. Если такой же компонент Windows XP блокировал только входящий сетевой трафик, то в новой ОС он контролирует и исходящий. Этот подход помогает избавиться от несанкционированного выхода в сеть уже установленных приложений.
Базовая панель конфигурации параметров брандмауэра Windows Firewall Settings очень похожа на окно свойств межсетевого экрана Windows XP. Разве что на смену прежней опции запрета исключений из общих правил здесь пришла кнопка блокировки всех входящих параметров. Расположенная уровнем ниже закладка исключений из правил Policy Exceptions также имеет много общего со своей предшественницей из XP, но она не позволяет исключить ICMP (Internet Control Message Protocol - протокол управляющих сообщений Интернета). Все исключения из правил вместе с элементами управления исходящим трафиком теперь вынесены в новое окно конфигурации Windows Firewall with Advanced Security (брандмауэр Windows c дополнительной защитой), построенное на основе консоли управления MMC.
В целом полную интеграцию брандмауэрного решения можно только приветствовать, однако ее практическая значимость для корпоративной среды вызывает у нас некоторые сомнения. В обозримом будущем администраторам здесь придется поддерживать не только Vista, но и прежние системы Windows, поэтому ради простоты управления они вполне могут сохранить уже развернутые межсетевые экраны сторонних производителей. Едва ли многие из них захотят развернуть у себя еще и брандмауэр Vista, а затем сопровождать его отдельно от привычной системы. Скорее уж они возьмут на вооружение сходное решение независимого разработчика, как только оно появится для Vista.
Управление учетными записями пользователей
Встраивание в Vista модуля UAC - первая попытка Microsoft избавиться от всеобъемлющих привилегий администратора и ограничить права всех без исключения пользователей некими локальными рамками. Главный администратор может перевести UAC в один из двух режимов. В первом система просто запрещает пользователям производить любое администрирование, включая установку приложений и изменение системных параметров. Во втором - перед началом любой операции администрирования выводится соответствующее предупреждение в безопасном интерфейсе.
Однако в этом втором случае UAC выдает столько предупредительных сообщений, что пользователи могут очень быстро привыкнуть бездумно щелкать на кнопке "Да". И те, кто сталкивался с подобной ситуацией при обслуживании ограниченных учетных записей в системах на базе Windows XP и Windows 2000, скорее всего выберут первый вариант.
Но как бы то ни было, мы можем порадоваться, что Microsoft наконец-то решилась отойти от прежней парадигмы и согласилась лишить пользователя административных привилегий на протяжении всей работы с компьютером. Модуль UAC предлагает ИТ-подразделениям то, что они должны были реализовать (а многие уже и реализовали) давным-давно.
С техническим аналитиком Эндрю Гарсиа можно связаться по адресу: andrew_garcia@ziffdavis.com.
