Я поинтересовался мнением нескольких разработчиков относительно Платформы фильтрации Windows (Windows Filtering Platform). Вот что сказал Педро Бустаманте, главный научный консультант компании Panda Security: «Брандмауэр в Windows 7 выглядит, с точки зрения стороннего разработчика, очень похожим на то, что мы видели в Windows Vista. У него есть API, который позволит интегрировать собственный набор правил и активировать или деактивировать их одновременно. Впрочем, этот API не предоставит в распоряжение пользователя более развитые функциональные возможности, такие, как пакетная фильтрация (необходимая для обнаружения сетевых вирусов и „червей“), интеграция датчиков для механизмов анализа поведения, сканирование Web-трафика, построение систем обнаружения попыток вторжения и другие. Он позволит построить весьма элементарный брандмауэр, но, с точки зрения требований к безопасности, этого недостаточно». Так что при существующем положении дел вряд ли мы станем свидетелями массового перехода разработчиков в лагерь сторонников Windows Filtering Platform.
Не могу не отметить, что в Windows 7 имеется целый ряд других усовершенствований системы безопасности. Даже в нынешней предварительной бета-версии.
BitLocker и другие
Тема User Account Control неизбежна, если речь идет о функциях безопасности Vista. То же самое можно сказать и о UAC в Windows 7. И, конечно, проблемы защиты, как персональной, так и сетевой, – злободневная тема. Помимо уже рассмотренных серьезных усовершенствований в Windows 7 реализовано несколько других новых функций и возможностей, полезных с точки зрения безопасности.
В Vista мы обнаружили целый арсенал новых функций безопасности и в том числе BitLocker, инструмент шифрования всего диска, способный защитить ваши данные, даже если злоумышленник украдет ваш ноутбук. Возможности BitLocker полностью используются только в системах, оборудованных модулем TPM (Trusted Platform Module). В Vista TPM обеспечивает прозрачную расшифровку диска, как только пользователь аутентифицировал себя с помощью пароля или смарт-карты. Похититель не сможет взломать зашифрованный диск, даже если загрузит другую ОС или подключит накопитель к другому ПК.
В Windows 7 эта подсистема позволяет защищать и сменные накопители. Функция BitLocker To Go работает даже в системах без TPM, как было, например, на тестовом ПК. Чтобы вызывать ее, достаточно один раз щелкнуть в контекстном меню. Затем задается пароль или регистрируется смарт-карта. Запишите и припрячьте где-нибудь специальный код восстановления (40 цифр) на случай, если вы забудете пароль или потеряете смарт-карту. Спустя несколько минут диск зашифрован
Теперь, если вы вставите этот накопитель, Windows 7 потребует ввести пароль или вставить смарт- карту. Если ваш офис надежно запирается и в нем нет потенциальных злоумышленников, Windows может даже записать ключ и при необходимости автоматически разблокировать диск на заданном компьютере (и только на нем).
Вряд ли кто-то будет делать это дома, но ИТ-администраторы могут использовать Групповую политику, чтобы задать длину пароля и, что еще важнее, запретить запись на сменные накопители, не имеющие защиты BitLocker. Это очень эффективный способ борьбы, к примеру, с незаконной загрузкой данных из ПК в карманное устройство (podslurping). При наличии такой политики сотрудники, конечно, могут занести очередной «вирус месяца» на незащищенный диск, но им не удастся скопировать и унести с собой незащищенную копию базы данных персонала или секретные планы компании по достижению мирового лидерства.
Естественно, зашифрованный USB-накопитель можно использовать на любом компьютере с Windows 7; ограничивать применение устройства единственным ПК было бы абсурдно. В документации Microsoft не раз повторяется, что с зашифрованным диском можно работать даже на системах с Vista и XP. Утверждается, что «BitLocker To Go также позволяет совместно использовать данные с теми, кто еще не установил у себя Windows 7».
Центр управления настройками BitLocker для локальных дисков.
Мне не удалось прочитать диск, зашифрованный с помощью BitLocker To Go, ни на одном ПК с XP и Vista, но вы можете попытаться это сделать. Более того, описание в Групповой политике, управляющей этой функцией, противоречит документации. Там говорится, что на старых системах «будет виден только файл readme.txt. Этот файл сообщает пользователю, что тот должен вставить устройство в систему с Windows 7». Но разве это то, что мы называем «совместным использованием»?
Активировать BitLocker для флэш-накопителя можно в контекстном меню.
Microsoft подтвердила, что диски, зашифрованные с помощью BitLocker To Go, действительно будут пригодны для использования на старых системах Windows – но позже. «BitLocker To Go – одна из функций, которые пока реализованы не в полном объеме. Вы столкнулись с ограничением, нормальным для предварительной бета-версии». Что ж, подождем.
Разное
Windows Defender, малоэффективный инструмент, который вроде бы защищает от шпионского ПО Vista и злополучный Windows Live OneCare, есть и в Windows 7. Но здесь, похоже, наблюдается некоторый прогресс. На Windows Defender в Vista работает девять «агентов безопасности» для защиты в реальном времени, в справочной системе Windows 7 перечислено пять, но только два из них представлены в Windows Defender. И мне непонятно, что же происходит на самом деле. Кроме того, при сканировании моей стерильно чистой системы с только что инсталлированной новой Windows 7 программа сообщила о каких-то следах вредоносного ПО, но по завершении процесса отказалась от этого заявления. Придется подождать, пока программа будет окончательно доработана. Хотя не исключено, что она может трансформироваться в Moro, недавно анонсированную бесплатную утилиту Microsoft для борьбы с «вредителями».
В Windows 7 имеется встроенный модуль родительского контроля. С его помощью можно предотвратить посещение сайтов сомнительного содержания.
Модуль System Restore проблем вызвал больше, чем решил; мне он не понравился. Тем не менее, пользователи часто обращаются к нему, чтобы очистить свои системы (от реального или воображаемого) вредоносного ПО. В Windows 7, крайней мере, ясно, какой вред может быть причинен, перечислены все программы и драйверы, которые будут удалены (или восстановлены) при обращении в конкретный пункт System Restore. Это гораздо эффективнее, чем пытаться угадать, куда нужно обратиться, а потом уповать на удачу.
Полномочия системы безопасности Windows 7 простираются и на внешние устройства, такие, как проекторы, подключаемые к сети.
Сотрудникам ИТ-подразделений понравится функция, которую Microsoft называет AppLocker. Она доступна через локальную политику безопасности (Local Security Policy) и контролирует список программ, с которыми может работать пользователь, причем более гибко, чем политика ограничений в Vista. Конечно, эта функция не для рядового пользователя. В Windows 7 также есть встроенные средства работы с биометрическими устройствами: можно настроить систему таким образом, чтобы при регистрации запрашивался отпечаток пальца, а не пароль.
Итак, как я могу оценить, исходя из результатов моего тестирования предварительной бета-версии, улучшения средств безопасности в Windows 7? Неплохо, но и ничего выдающегося. Когда Windows Vista пришла на смену Windows XP, безопасность была главным аргументом в пользу перехода на нее. Vista вышла напичканной новыми инструментами, которые были призваны покончить с плохой репутацией Windows в том, что касается безопасности. Переход от Vista к Windows 7 не предполагает качественного скачка. UAC все тот же, разве чуть менее ворчливый. Новые возможности сетевой защиты скорее результат эволюции, чем революции. Функция BitLocker To Go полезна, но тоже не нова. Фактически все изменения в системе безопасности Windows 7 представляют собой слегка отшлифованные и улучшенные инструменты Vista. Это и понятно, ведь Windows 7 – это та же Vista, но только лучше.
Короли, капуста и... компьютеры
Windows 7: нет коренным изменениям
