Илья Рудь
Windows 7: продолжаем знакомство
Разочарованы в Windows Vista? Считаете, что Windows 7 – это новая обертка старой операционной системы? Не торопитесь с выводами, Windows 7 есть чем удивить технического специалиста.
На данный момент дата выхода новой операционной системы от Microsoft под названием Windows 7 уже не является секретом. Число обозначено, продукт поступит на полки магазинов в конце октября 2009 года. Партнерам и крупным корпоративным заказчикам он станет доступен во второй половине июля. Бытует мнение, что данная операционная система представляет собой доработанную Windows Vista, и это бесспорно так, но все же не стоит забывать и о новых возможностях преемницы Vista. Список изменений довольно широк и затрагивает многие компоненты операционной системы. Технические специалисты, пожалуй, первые, кому придется осваивать новый функционал, поэтому я предлагаю некоторый ликбез по ключевым изменениям в Windows 7.
User Account Control
У специалистов и просто пользователей, знакомых c Windows Vista, после установки Windows 7 может возникнуть непреодолимое желание нарушить каноны безопасности и отключить технологию UAC (User Account Control). Советую все же не спешить, поскольку данный компонент Microsoft Windows в новой версии операционной системы был значительно доработан.
Первое, что можно заметить – это появление в панели управления апплета, позволяющего настроить активность контроля учетных записей. Для выбора предлагается 4 уровня защиты от наименее безопасного, когда UAC отключен, до максимального уровня защиты, который использовался в Windows Vista.
Рассмотрим каждый из уровней:
- Всегда оповещать при каждом изменении системы – верхний и наиболее безопасный. Это поведение было в Vista, оповещение UAC появляется при внесении изменений на системном уровне (параметры Windows, установка ПО и т.д.)
- Оповещать, только когда программа пытается внести изменения в компьютер – уровень, установленный по умолчанию в Windows 7. Оповещения больше не появляются при работе в панели управления или при выполнении задач администрирования.
- Третий уровень – очень похож на второй, но имеет существенное отличие, оповещения UAC появляются на обычном рабочем столе, а не на заблокированном с использованием Secure Desktop. Данный уровень может быть полезен для систем с видеодрайверами, слишком медленно переключающими на Secure Desktop. Но все же не следует забывать, что Secure Desktop является дополнительной преградой для ПО, пытающегося подделать ваш ответ.
- Никогда не оповещать – нерекомендуемый уровень. При выборе этой опции UAC система полностью отключается. Отключение UAC нельзя сделать незаметно, пользователь получит предупреждение, и систему придется перезагрузить.
Расширенные настройки UAC по-прежнему находятся в параметрах локальной политики компьютера и представлены десятью параметрами. При использовании контроля учетных записей на корпоративных компьютерах будет правильней применить настройки UAC через групповую политику. К примеру, вы хотите добиться повышения безопасности работы путем конфигурирования UAC на всех компьютерах Windows 7 и соответствовать внутреннему стандарту безопасности вашей организации. Стандарт требует работы любых административных записей, в том числе встроенных администраторов с включенным UAC. И если администратор пытается выполнить какое-либо административное действие, он обязан еще раз ввести пароль для своей учетной записи. Обыкновенным же пользователям при попытке выполнения действия, требующего больших привилегий, система должна отвечать отказом. При этом любые запросы на повышение уровня доступа должны выводиться на безопасном рабочем столе. Довольно жесткий подход, который все же имеет место быть в компаниях, особенно серьезно относящихся к безопасности своих компьютеров (см. рис. 1).
Рисунок 1. Настройки уровня UAC в панели управления Windows 7
Для решения данной задачи необходимо открыть параметры безопасности в разделе групповой политики «Конфигурация Компьютера».
Первый параметр, который необходимо настроить, называется «Контроль учетных записей: Все администраторы работают в режиме одобрения администратором». Перевод на русский язык данного параметра неверный, этот параметр включает или отключает UAC для всех учетных записей, поэтому в нашем случае должен стоять в состоянии «Включен».
Второй параметр, подлежащий настройке «Контроль учетных записей: Режим одобрения администратором для встроенной учетной записи администратора». Включив его, мы задействуем работу UAC для встроенного администратора.
Теперь нужно описать действия системы при попытке администраторов или пользователей выполнить какие-либо действия, требующие повышения привилегий. Для этого в параметре «Контроль учетных записей: Поведение запроса на повышения прав для администраторов в режиме одобрения администратором» устанавливаем «Запрос учетных данных на безопасном рабочем столе», а в «Контроль учетных записей: Поведение запроса на повышения прав для обычных пользователей» выбираем «Автоматически отклонять запросы пользователей».
Для тех же, кто считает такие настройки излишне строгими, можно порекомендовать выбрать в параметре групповой политики «Контроль учетных записей: Поведение запроса на повышения прав для администраторов в режиме одобрения администратором» запрос согласия для двоичных данных не из Windows, тем самым установив на клиентах второй уровень работы UAC, описанный выше (см. рис. 2).
Рисунок 2. Настройка UAC через локальную политику Windows 7
Bitlocker
Безопасность – понятие комплексное, и компания Microsoft это прекрасно понимает, добавляя с каждой версией новый функционал, направленный на защиту компьютеров. Картина современного компьютерного парка показывает непрекращающийся рост доли мобильных ПК в квартирах пользователей. Технология Bitlocker, впервые появившаяся в Windows Vista, была направлена в первую очередь на защиту этого сегмента как самого уязвимого к краже и просто потери. Если рассматривать специалистов информационных технологий и бизнес-аудиторию, то на их ноутбуках, как правило, хранится ценная информация, и потеря ее может создать серьезную угрозу как личным финансам, так и существованию компании.
В первом выпуске Windows Vista до выхода SP1 присутствовала возможность зашифровать диск с операционной системой, для этого предварительно было необходимо создать специальный раздел размером 1,5 Гб, который оставался незашифрованным и хранил загрузочные файлы. Если же вы пропустили создание данного раздела, то при использовании версии Vista Ultimate вам была доступна утилита по подготовке диска перед включением Bitlocker. В противном случае приходилось переустанавливать операционную систему и разбивать жесткий диск заново.
В Windows 7 специальный служебный раздел для Bitlocker создается автоматически, без каких-либо вопросов при установке системы. Его размер был сокращен до 100 Мб, а сам раздел скрыт от глаз человека, работающего на компьютере. Если же вы захотите включить Bitlocker, дополнительные действия с диском вам не понадобятся, поскольку раздел уже существует.
С выходом SP1 для Windows Vista Bitlocker смог шифровать не только раздел с установленной системой, но и любые другие. Присутствовало определенное ограничение, говорящее о том, что шифровать дополнительные разделы можно только после шифрования раздела с системой. В Windows 7 данное ограничение отсутствует. После установки системы вы можете зашифровать диск D: хранящий ваши документы, оставив при этом незашифрованным диск с самой Windows 7.
Основное изменение технологии Bitlocker связанно с появлением нового функционала Bitlocker ToGo. Чтобы понять, нужен ли вам данный функционал, ответьте себе на два вопроса: Пользуетесь ли вы Flash-носителями? Забывали ли вы хотя бы раз свою флешку на работе, в интернет-кафе или у знакомых? Даже если вы ответили «да» только на первый вопрос, технология Bitlocker ToGo создана для вас.
Как вы уже догадались, Bitlocker ToGo позволяет шифровать Flash-носители и мобильные жесткие диски, подключенные через интерфейс USB. Осуществлена поддержка файловых систем NTFS, FAT, FAT32, ExFAT. После шифрования, время которого зависит от объема носителя, а не его наполненности, доступ будет предоставляться после ввода PIN-кода, указанного в процессе включения Bitlocker ToGo для конкретного носителя, либо возможно задействовать авторизацию с помощью смарт-карты. И если компьютеры, в которые будет вставлен этот носитель, работают под управлением Windows 7 или Windows 2008 R2, доступ к файлам произойдет абсолютно прозрачно для пользователя.
Менее радужно выглядит ситуация при работе с парком компьютеров под разными версиями Windows. Bitlocker ToGo создан для работы с Windows 7, но прочитать зашифрованный носитель с файловой системой FAT вы сможете и под Windows XP/Vista. К сожалению, только прочитать и только FAT. Для работы с зашифрованным носителем в Windows Vista вам понадобится ввести PIN-код и открыть приложение Bitlocker ToGo. Если вам нужно прочитать какой-либо файл, то предварительно его необходимо скопировать на текущий компьютер, вдобавок записать что-то на носитель из предыдущих версий ОС нельзя.
Процесс включения Bitlocker ToGo на мобильном носителе предельно прост и отдельного внимания не заслуживает, а вот расширенные параметры в групповой политике требуют более близкого знакомства.
Параметры, регулирующие Bitlocker ToGo, находятся в ветке «Конфигурация Компьютера > Административные Шаблоны > Removable Data Drivers». К сожалению, на данный момент они не переведены на русский язык.
- Configure use of smart cards on removable data drives – позволяет разрешить или запретить возможность использовать смарт-карты для аутентификации пользователя, использующего зашифрованный носитель.
- Deny write access to removable drives not protected BitLocker – запрещает запись на носители, не зашифрованные BitLocker, соответственно любые принесенные незашифрованные носители будут доступны только для чтения.
- Allow access to BitLocker-protected removable data drives from earlier versions of Windows – определяет, могут ли сменные диски, отформатированные под FAT, быть разблокированы и просмотрены на компьютерах под управлением Windows 2008, Windows Vista, Windows XP SP2.
- Configure password complexity requirements and minimum length – влияет на длину и сложность пароля, создаваемого пользователем для получения доступа к носителю.
- Choose how BitLocker-protected removable drives can be recovered – один из самых важных параметров, позволяющих настроить процедуру восстановления информации на носителе при потере PIN-кода.
Из вышесказанного можно сделать вывод, что в ближайшие годы у компаний, использующих компьютеры под управлением Windows, появится дополнительное средство контроля носителей информации, и наибольшее удобство при использовании Bitlocker ToGo получат фирмы, полностью мигрировавшие свои клиентские компьютеры на Windows 7.
Windows XP Mode
Одной из проблем при переходе на Windows Vista была совместимость приложений. Если практически все коммерческое ПО было обновлено и вышли новые версии, работающие под Vista, то самописные программы, созданные давно людьми, уже не работающими в вашей организации, повисли мертвым грузом, не давая полноценно мигрировать на новую версию ОС. Как один из вариантов решения проблем был и остается Application Compatibility Toolkit, но, к сожалению, далеко не все программы можно приручить с помощью данного продукта. Компании, имеющие такие приложения, были вынуждены оставить часть компьютеров под управлением Windows XP, тем самым сохраняя платформу для запуска устаревших приложений.
В Windows 7 для совместимости с устаревшими приложениями предлагается новое решение, базирующееся на основе Windows Virtual PC, специальной версии под Windows 7, уже хорошо знакомой Virtual PC 2007. Сама по себе виртуализация не нова, и в Windows Vista вы могли поставить Windows XP в Virtual PC 2007 и запускать в ней старое приложении. Но в таком случае появляется неудобство использования нескольких рабочих столов и необходимость переключения между реальной и виртуальной ОС.
В Windows 7 же предлагается качественное улучшение под названием Windows XP Mode, в рамках этого улучшения предлагается скачать готовый образ операционной системы Windows XP SP3, установив на него нужное вам приложение. В виртуальной системе будет задействована опция «Публикации приложений», а это значит, что пользователю будет необходимо нажимать ярлык для запуска ПО, а не запуска виртуальной машины. При этом на экране он увидит только окно приложения, без каких-либо признаков виртуальной Windows XP. Естественно, приложение будет выполняться в виртуальной среде, что потребует определенных дополнительных ресурсов системы, а первый запуск приложения займет гораздо больше времени, нежели то же приложение, установленное в реальной операционной системе (см. рис. 3).
Рисунок 3. Приложения «1C:Предприятие» и Foxit Reader, запущенные в Windows XP Mode
К плюсам новой версии Windows Virtual PC можно отнести возможность установки Windows XP, Windows Vista, Windows Vista 7, Windows Server 2003/2008 и 2008R2, но только 32‑битных версий. Поддержка виртуальными машинами USB-устройств также является новшеством в семействе продуктов Virtual PC, преград для подключения к виртуальной машине USB-принтеров и других USB-устройств больше не существует.
Серьезным препятствием на пути распространения данной технологии среди офисных компьютеров могут стать требования к оборудованию. В отличие от предшественницы для Windows Virtual PC необходимо наличие у процессора аппаратной поддержки виртуализации (Hardware Virtualization Technology). Правила лицензирования Windows XP Mode пока точно не известны, но существует информация, что Windows XP Mode будет бесплатен для следующих версий Windows 7. Это Professional, Enterprise и Ultimate.
В любом случае ничто не мешает вам установить собственную виртуальную машину, естественно, лицензированную и задействовать функцию «Публикации приложений».
AppLocker
Возвращаясь к технологиям обеспечения безопасности, нельзя обойти стороной новинку седьмой версии Windows – AppLocker, интересную в первую очередь корпоративному сегменту. Одной из причин, по которой пользовательский компьютер начинает отходить от внутренних стандартов, является установка дополнительного программного обеспечения. Пути проникновения такого ПО могу быть самые разные. Это и программы, принесенные из дома, загруженные из Интернета или полученные по электронной почте. И даже при работе пользователя с минимальными привилегиями остается риск запуска портативных программ, не требующих установки. AppLocker – логическое продолжение политики ограниченного использования программ (SRP) в ОС Windows XP и Windows Vista, но более гибкое и удобное в администрировании.
Структура AppLocker проста и содержит три типа правил: разрешающие, запрещающие и исключения. Разрешающие правила дают возможность запускать только приложения из списка «благонадежных» и блокируют все остальные. Запрещающие правила, напротив, разрешают выполнение любых приложений, кроме тех, что в списке «неблагонадежных». Несмотря на то что существует возможность комбинаций, рекомендуется построение AppLocker только из разрешающих правил и исключений. AppLocker поддерживает ряд независимых политик: для исполняемых файлов, для установщиков, для сценариев и для библиотек DLL.
Нововведение AppLocker – правила на издателей, основанные на цифровых подписях приложений. Это дает возможность создавать правила, остающиеся в силе после обновления или установки новой версии приложения и достигается это за счет возможности указывать атрибуты приложения. Например, можно создать правило «разрешать запуск всех версий программы Microsoft Office Excel начиная с 2007, если они подписаны издателем Microsoft». При выходе новой версии Microsoft Office Excel можно просто обновить приложение, и создавать новое правило под него не потребуется.
Для того чтобы не получилось так, что созданные правила мешают работе системы и пользователям предусмотрены правила по умолчанию. Их три, и действуют они на разрешение. Первое разрешает запуск приложений пользователям из папки Program Files, второе – из папки Windows и третье дает право администраторам запускать программы без ограничений. Даже задействовав только эти правила, вы будете уверены, что пользователи не смогут запустить несанкционированное приложение, точнее, смогут, если им удастся его положить в Program Files или Windows, но таких прав у них просто не будет.
Представим, что у пользователей на диске C: в папке SOFT находится нужная для работы программа, но после применения разрешающих правил по умолчанию пользователи не смогу запускать из нее ПО. Если вы создадите еще одно разрешающее правило, дающее возможность запускать программы из C:\SOFT, то возникнет брешь в безопасности, т.к. любая скопированная в эту папку программа сможет быть запущена. Конечно, можно создать разрешающее правило, основанное на хэше программы, но тут существует своя тонкость, при каждом обновлении вашего приложения вам придется заново создавать правило, т.к. хэш будет меняться. В такой ситуации правила на издателей как раз будут самым эффективным решением, но только если приложение использует цифровую подпись.
На рис. 4 видно создание правила на издателя, где, перемещая ползунок детализации, разрешается использование только данной версии приложения, изменив детализацию можно добиться разрешения использовать любую версию приложения либо всех приложений от данного издателя. Для функционирования AppLocker необходимо запустить службу «Удостоверение приложения» и установить тип запуска «Автоматически», т.к. после установки Windows 7 данная служба находится в режиме запуска вручную.
Рисунок 4. Создание правила типа «Издатель» в AppLocker
В Windows 7 по-прежнему присутствуют политики ограниченного использования программ (SRP), и они могу быть задействованы. AppLocker – новая технология, которая будет доступна в версии Enterprise, в то время как устаревшие политики ограниченного использования программ останутся в младших редакциях операционной системы.
Количество новшеств Windows 7 на этом не заканчивается, за рамками данной статьи осталась технология DirectAccess, которая позволяет удаленным пользователям подключаться к корпоративной сети через Интернет без необходимости создания VPN-подключения. Возможность offline domain join, дающая ввести компьютер в домен без установки сетевого соединения с контроллером домена. Функция BranchCache, предназначенная для кэширования данных удаленных файловых и веб-серверов в локальной сети филиала, и много других. До первых поступлений Windows 7 осталось меньше месяца, а данного времени должно хватить на повышение квалификации и подготовки к пополнению семейства операционных систем.