Понижение уровня контроля над учетной записью пользователя требует перезагрузки. В то же время, ужесточить контроль можно «на лету». Обратите внимание – сообщение о необходимости перезагрузки выдается почти независимо от настроек «Центра уведомления» (возможно, это особенность бета-версии ОС).
Совершенно очевидно, что UAC по-прежнему нуждается в доработке. Между тем, всеми критикуемому брандмауэру Windows Firewall в версии для Windows 7 уже есть чем похвастаться. А впереди нас ждут еще более серьезные усовершенствования.
Брандмауэр и сети
Так сложилось, что Windows Firewall просто не заслуживает уважения. Он не был толком усовершенствован при переходе с XP на Vista. Да, он выполняет простейшие задачи, но отсутствие каких-либо серьезных функций делает его едва ли не образцом наихудшего представителя своего класса, на фоне которого выгодно отличаются другие, более удачные брандмауэры. Не могу даже припомнить, сколько раз я писал что-то вроде «конечно, продукт Х делает все порты невидимыми для хакерских атак, но ведь это удается даже брандмауэру Windows Firewall!». Хорошая новость: очень может быть, что Windows 7 выведет системный брандмауэр из этого унизительного состояния. Некоторые новые функции уже работают и неплохо показали себя даже в предварительной бета-версии ОС, которая инсталлирована на моей тестовой системе. Ожидается, что в Windows Firewall появятся и другие замечательные возможности.
Сетевой экран Windows 7 обеспечивает различные настройки при работе с корпоративными и домашними сетями.
Пользователю предоставляется возможность самостоятельно указать программы, которым разрешен доступ к Сети.
Задача брандмауэра – защитить сеть, и Windows 7 начинает с того, что предоставляет в распоряжение пользователя удобные средства настройки конфигурации домашней сети. Если пользователи сталкиваются с проблемами в работе сети, то винят в первую очередь брандмауэр. И в большинстве случаев оказываются правы. В Windows 7 задача настройки домашней сети возлагается на ОС, при этом исключается возможность вмешательства брандмауэра.
Во время инсталляции Windows 7 предлагает создать нечто с таким приятным на слух названием, как HomeGroup («Домашняя группа»). По мере добавления к сети других компьютеров с Windows 7 им будет предложено присоединиться к этой группе. Они должны будут просто использовать тот же пароль «Домашней группы». К сожалению, проверить это на практике я не могу, поскольку Windows 7 инсталлирована у меня только на одной машине. Но в целом все выглядит достаточно просто.
Компьютеры в «Домашней группе» могут совместно использовать принтеры и определенные библиотеки файлов. По умолчанию совместный доступ распространяется на изображения, музыку, видео и документы, но при желании список можно ограничить. Есть даже возможность исключить из общего доступа отдельные папки. Впрочем, информации о том, как это сделать, пока нет – ссылка ведет на незаконченную страницу. Но не забывайте, что речь идет о предварительной бета-версии.
Кроме того, можно предоставить общий доступ к медиафайлам в своей сети даже компьютерам, не работающим с Windows 7, а также не только PC-совместимым устройствам. В качестве примера Microsoft демонстрирует возможность воспроизведения потоковых аудио– и видеоданных на Xbox 360. Разумеется, эта функция работает только с определенными устройствами. Например, подключить к моей сети консоль Wii она «не захотела». Конечно, время покажет, упрощает ли функция HomeGroup организацию сети. Но выглядит все это неплохо.
Если Vista четко разграничивает общедоступные и частные сети, то Windows 7 делит частную сеть на домашнюю и рабочую. Функция HomeGroup доступна только в том случае, если вы выбрали тип сети «домашняя». В рабочей сети компьютер сможет «видеть» прочие устройства и даже соединяться с ними. А общедоступная сеть (например, беспроводная в вашей любимой кофейне) блокирует доступ из любых прочих устройств и к ним. Для вашей же безопасности.
В Vista и XP возможности управления брандмауэром сводились просто к включению и выключению его. В Windows 7 имеются средства тонкой настройки параметров отдельно для частной («Домашней» и «Рабочей») и общедоступной сети. Подключившись к общедоступной сети в точке доступа (например, в кофейне), вам не придется самому заниматься настройкой и устанавливать многочисленные параметры. Достаточно выбрать тип сети «Общедоступная», и Windows Firewall самостоятельно установит весь набор более строгих параметров безопасности. Кроме того, можно заблокировать все попытки установить соединение из общедоступной сети. В Vista этого нельзя было сделать без одновременного отключения всего входящего трафика вашей собственной сети.
Диалог настройки сетевого экрана в зависимости от типа подключения.
В Windows 7 появилась возможность тонкой настройки сетевого экрана...
...например, можно задать тип и номер сетевого порта.
Следует отметить, что некоторые пользователи Vista даже не понимали предназначения брандмауэра. Hужен ли он вообще, если есть всплывающие окна предупреждений от UAC? Но эти модули решают совершенно разные задачи! UAC занимается внутренними проблемами, следя за программами, которые пытаются изменить что-либо в системе. Брандмауэр стоит на страже границы с внешним миром и отслеживает попытки доступа извне и вовне. Представьте их себе как два героических персонажа, стоящих спиной к спине и отбивающихся от врагов, нападающих со всех сторон. Вот так примерно и здесь.
Пожалуй, более интересна новая экранная кнопка Notify me when Windows Firewall blocks a new program (Уведомить, когда Windows Firewall заблокирует новую программу). Похоже на функцию контроля программ, которая уже давно есть в брандмауэрах сторонних разработчиков. Она разрешает доступ в сеть или Интернет только авторизованным программам. Если моя догадка верна, то пока эта функция не работает. Windows Firewall никак не реагировал на все мои попытки запустить браузеры от разных поставщиков и другие нестандартные программы, требующие доступа в Интернет. Они запускаются без всякого участия брандмауэра.
Возможно, эта экранная кнопка представляет собой многословный вариант Списка исключений Vista – перечня программ, которым разрешено устанавливать незапрошенные входящие соединения. Но если на самом деле Windows Firewall способен обеспечить двойную защиту, контролируя не только периметр сети, но и программы, то это большой шаг вперед.
Я уверен, что Microsoft точно знает, что большинство пользователей устанавливают «настоящие» брандмауэры или даже программные комплексы безопасности и отключают Windows Firewall. Многие программы безопасности сторонних фирм вообще отключают Windows Firewall автоматически во избежание конфликтов. Чтобы покончить с этим унизительным отношением к своему продукту, Microsoft разделила функции брандмауэра между несколькими модулями и разработала программный интерфейс для удобного управления ими.
Список программ, нуждающихся в доступе к локальной сети или Интернету полностью подконтролен пользователю.
В выпущенном Microsoft документе «Windows 7 At-a-Glance» говорится: «Брандмауэры сторонних разработчиков могут использовать основные возможности Windows Firewall и добавлять к ним свои функции, а также включать и отключать некоторые модули Windows Firewall, что позволяет пользователю выбрать нужное ему ПО и обеспечить его бесконфликтную совместную работу с Windows Firewall».
Диалог, содержащий подробную информацию о подозрительном процессе.
