Vylepšené zabezpečenie vo Windows 7

Paul Cooke, riaditeľ Windows Client Enterprise Security, Microsoft Corporation

Zabezpečenie trvale predstavuje pre IT špecialistov jednu z najdôležitejších oblastí. Po vydaní Windows® 7 Beta sa teda oprávnene objavujú otázky, ako si Microsoft so zabezpečením poradil v operačnom systéme Windows 7. Táto téma je príliš rozsiahla, než aby ju bolo možné podrobne pokryť v krátkom článku, našu pozornosť si ale zaslúžia aspoň tri hlavné témy.

• Windows 7 sú založené na základoch zabezpečenia operačného systému Windows Vista® a ďalej zlepšujú auditovanie a funkciu Riadenia používateľských kont.
• Windows 7 uľahčujú pomocou funkcie AppLocker™ kontrolu nad softvérom, ktorý je možné prevádzkovať v prostredí.
• Windows 7 rozširujú základné funkcie technológie BitLocker™ Drive Encryption o nástroj BitLocker To Go™ určený pre vymeniteľné pamäťové zariadenia.

Pozrime sa teda teraz podrobnejšie na každú z týchto tém.

Od základu zabezpečené prostredie

Windows 7 sú založené na silných základoch zabezpečenia systému Windows Vista, ktoré si zachovávajú a ďalej rozvíjajú prostredníctvom vývojových procesov a technológií. Tie urobili z Windows Vista doteraz najzabezpečenejší klientsky systém Windows. Základné funkcie zabezpečenia, ako sú Kernel Patch Protection (Ochrana proti zmenám jadra), Service Hardening (Posilnenie zabezpečenia služieb), Data Execution Prevention (Zabránenie spusteniu dát), Address Space Layout Randomization (Náhodné rozloženie adresného priestoru) a Mandatory Integrity Levels (Povinná kontrola úrovne dôveryhodnosti), pokračujú v poskytovaní pokročilého zabezpečenia proti malwaru a útokom. Windows 7 boli navrhnuté a vyvinuté s využitím modelu Microsoft Security Development Lifecycle (SDL) a podporujú požiadavky Common Criteria pre dosiahnutie certifikácie Evaluation Assurance Level 4 a štandardizácie Federal Information Processing Standard 140-2.

Rozšírené auditovanie

Windows 7 poskytujú rozšírené možnosti auditovania, ktoré organizáciám uľahčujú plnenie regulačných a podnikových predpisov. Rozšírenie auditovania začína zjednodušenou správou konfigurácie auditovania a končí vyššou kontrolou nad dianím v organizácii. Windows 7 napríklad poskytujú lepší prehľad o tom, prečo určitý používateľ získal alebo mu naopak bol odopretý prístup k určitým informáciám, rovnako ako prehľad o zmenách vykonaných určitými používateľmi či skupinami.

Zjednodušené Riadenie používateľských kont

Funkcia Riadenie používateľských kont bola predstavená vo Windows Vista pre uľahčenie používania starších aplikácií so štandardnými používateľskými právami a ako pomoc nezávislým výrobcom softvéru s prispôsobením ich softvéru správnemu fungovaniu so štandardnými používateľskými oprávneniami. Windows 7 pokračujú vo využívaní Riadenia používateľských kont, iba v určitých ohľadoch prinášajú zmeny s cieľom zvýšiť používateľský komfort. Medzi tieto zmeny patrí zníženie počtu aplikácií a úloh operačného systému, ktoré požadujú oprávnenia správcu, a poskytnutie možnosti flexibilného potvrdzovania žiadostí o zadanie vyšších oprávnení pre používateľov, ktorí pracujú s oprávneniami správcu. Výsledkom je, že štandardní používatelia môžu vykonávať viac činností a všetkým používateľom sa bude zobrazovať menej výziev na zadanie poverení.

AppLocker

Windows 7 menia prostredníctvom technológie AppLocker zásady kontroly aplikácií, ktorá predstavuje flexibilný, ľahko spravovateľný mechanizmus umožňujúci správcom IT presne určovať, aký softvér môže byť spúšťaný v klientskej infraštruktúre, a poskytuje používateľom možnosť spúšťať aplikácie, inštalačné programy a skripty, ktoré potrebujú pre svoju prácu. Výsledkom je, že správcovia IT môžu vynucovať štandardizáciu aplikácií v rámci organizácie a zároveň zaisťovať zabezpečenie, zjednodušenie prevádzky a súlad s predpismi.

AppLocker vytvára jednoduchú a účinnú štruktúru prostredníctvom troch typov pravidiel: „povoliť“, „odoprieť“ a „výnimka“. Povoľujúce pravidlá obmedzujú spúšťanie aplikácií na „známe dobré“ a všetky ostatné blokujú. Odopieracie pravidlá volia opačný prístup a umožňujú spúšťanie všetkých aplikácií s výnimkou tých, ktoré sú na zozname „známych zlých“. Zatiaľ čo mnoho organizácií by pravdepodobne volilo kombináciu povoľujúcich a odopieracích pravidiel, ideálna implementácia technológie AppLocker je používanie povoľujúcich pravidiel s definovanými výnimkami. Pravidlá výnimiek vylučujú súbory z povoľujúcich či odopieracích pravidiel, do ktorých by normálne boli zahrnuté. S použitím výnimiek môžete napríklad vytvoriť pravidlo, ktoré „povoľuje vo Windows spúšťať všetko okrem predinštalovaných hier“. Používanie povoľujúcich pravidiel s výnimkami predstavuje robustný spôsob vytvárania „zoznamu známych dobrých“ aplikácií bez nutnosti vytvárať vysoký počet rôznych pravidiel.

AppLocker prináša taktiež pravidlá vydavateľa založené na digitálnych podpisoch aplikácií. Pravidlá vydavateľa umožňujú vytvárať pravidlá, ktoré „prežijú“ aktualizácie aplikácií, pretože je možné špecifikovať rôzne atribúty, ako napríklad verziu aplikácie. Organizácia môže napríklad vytvoriť pravidlo „povoľujúce spúšťať všetky verzie programu Acrobat Reader vyššie než 9.0, ak sú podpísané vydavateľom tohto softvéru, spoločnosťou Adobe“. Ak spoločnosť Adobe vydá aktualizáciu programu Acrobat, môžete bezpečne povoliť túto aktualizáciu bez vytvárania ďalšieho pravidla pre novú verziu.

Pravidlá nástroja AppLocker môžu byť taktiež pridružené k určitému používateľovi či skupine v rámci organizácie. Je tak zaistené podrobné riadenie oprávnení umožňujúce podporu plnenia predpisov overovaním a vynucovaním obmedzenia, ktorí používatelia môžu spúšťať konkrétne aplikácie. Môžete napríklad vytvoriť pravidlo „umožňujúce používateľom vo finančnom oddelení spúšťať finančné aplikácie“. Každému, kto nie je členom finančného oddelenia, tak bude zamedzené v spúšťaní finančných aplikácií (vrátane správcov), avšak používatelia, ktorí tieto aplikácie potrebujú pre plnenie svojich pracovných úloh, budú k nim mať prístup.

AppLocker poskytuje správcom IT robustné možnosti prostredníctvom nástrojov a sprievodcov pre vytváranie nových pravidiel. Vďaka prehľadne deleným krokom a plne integrovanému pomocníkovi sú vytváranie nových pravidiel, automatické generovanie pravidiel a import/export pravidiel intuitívne a ich správa je jednoduchá. Správcovia IT môžu napríklad automaticky generovať pravidlá pomocou testovacieho referenčného počítača a potom tieto pravidlá importovať do prevádzkového prostredia pre všeobecné nasadenie. Správca IT ďalej taktiež môže exportovať zásady a vytvoriť tak zálohu konfigurácie prevádzkového prostredia či dokumentáciu pre účely kontroly súladu s predpismi.

BitLocker a BitLocker To Go

Každý rok sú stratené, odcudzené či z prevádzky vyradené stovky tisícov počítačov bez náležitých bezpečnostných opatrení. Strata či odcudzenie dát však neznamená iba problém s fyzickým počítačom. USB pamäťové jednotky, e-mail, únik dokumentácie atď. predstavujú cesty, po ktorých sa citlivé dáta môžu dostať do nesprávnych rúk. Windows 7 reagujú na tieto trvalé riziká úniku dát prostredníctvom vylepšení spravovateľnosti a nasadenia technológie BitLocker Drive Encryption a predstavením nástroja BitLocker To Go, ktorý využitím technológie BitLocker na vymeniteľných úložných zariadeniach poskytuje rozšírenú ochranu pred krádežou dát a ich zneužitím.

Windows BitLocker Drive Encryption (skrátene iba BitLocker) zabraňuje zlodejom, ktorí použijú iný operačný systém alebo softvérový nástroj, v prelomení ochrany súborov a systému Windows 7 alebo v prezeraní offline súborov uložených na chránenej jednotke. Windows 7 BitLocker ponúka rovnaké základné výhody ako Windows Vista BitLocker, funkcie technológie Windows 7 BitLocker však boli rozšírené o vylepšenia pre IT špecialistov aj koncových používateľov. Pre zákazníkov, ktorí nenasadili Windows Vista s konfiguráciou disku s dvoma oblasťami, ako to požaduje technológia BitLocker, bolo následné rozdelenie disku na dve oblasti do značnej miery nepohodlné. Windows 7 vytvárajú požadované diskové oblasti už pri inštalácii, aby tak významne uľahčili neskoršie nasadenie technológie BitLocker. Ďalšou zmenou v technológii Windows 7 BitLocker je možnosť jednoducho kliknutím pravým tlačidlom myši povoliť ochranu jednotky.

Windows 7 BitLocker pridáva pre všetky chránené zväzky taktiež podporu nástroja Agent obnovovania dát (Data Recovery Agent, DRA). Podpora nástroja DRA, ktorá bola veľmi žiadaná zákazníkmi, umožňuje IT oddeleniam určovať, že všetky zväzky chránené technológiou BitLocker (operačný systém, pevné zväzky a po novom taktiež vymeniteľné zväzky) sú šifrované zodpovedajúcim agentom DRA. DRA predstavuje novú základnú ochranu zapísanú na každý dátový zväzok, aby autorizovaní správcovia IT vždy mali prístup k zväzkom chráneným technológiou BitLocker.

BitLocker To Go rozširuje podporu technológie BitLocker na vymeniteľné úložné zariadenia, ako sú jednotky USB flash či prenosné pevné disky. BitLocker To Go taktiež dáva správcom kontrolu nad využívaním vymeniteľných úložných zariadení v rámci firemného prostredia a nad silou požadovanej ochrany. Správcovia môžu požadovať ochranu dát na všetkých vymeniteľných úložných zariadeniach, na ktoré používatelia chcú zapisovať dáta, avšak zároveň umožniť používanie nechránených úložných zariadení v režime len pre čítanie. Používanie chránených vymeniteľných úložných zariadení môže taktiež byť riadené zásadami, ktoré vyžadujú vhodné heslá, čipové karty či používateľské poverenia k doméne.

BitLocker To Go je možné využívať samostatne bez požiadavky na ochranu systémovej oblasti tradičnou technológiou BitLocker. A konečne, BitLocker To Go poskytuje podporu režimu len pre čítanie pre vymeniteľné zariadenia v starších verziách operačného systému Windows, takže je možné pomocou funkcie BitLocker To Go Reader bezpečnejšie zdieľať súbory s používateľmi, ktorí stále ešte používajú Windows Vista a Windows XP.  

Či cestujete s prenosným počítačom, zdieľate veľké súbory s dôveryhodným partnerom či pracujete z domu, BitLocker a BitLocker To Go zaisťujú, že dáta budú môcť prečítať iba autorizovaní používatelia, aj keď dôjde k strate, odcudzeniu či inému zneužitiu média.

Záver

Windows 7, ktoré sú založené na bezpečnostných základoch Windows Vista, prinášajú rad vylepšení zabezpečenia, ktoré používateľom poskytujú dôveru, že spoločnosť Microsoft neustále vylepšuje ochranu dát a investícií do IT. Organizácie získajú výhody vyplývajúce z vylepšení chrániacich citlivé firemné informácie, poskytujúcich silnejšiu ochranu pred malwarom a zaisťujúcich zabezpečený prístup k podnikovým prostriedkom a dátam. Koncoví používatelia získajú výhody počítačov a Internetu s vedomím, že Windows 7 využívajú najnovšie technológie a funkcie pre ochranu osobných údajov a informácií. Všetci používatelia taktiež budú môcť ťažiť z flexibilných možností konfigurácie zabezpečenia vo Windows 7, ktoré im zaistia jedinečnú rovnováhu zabezpečenia a použiteľnosti s ohľadom na konkrétne potreby.