Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Часть серии по
Виндоус виста
Новые возможности
Другие статьи

В Windows Vista имеется ряд новых функций безопасности и защиты , большинство из которых не доступно ни в одной из предыдущих версий операционной системы Microsoft Windows .

Начиная с начала 2002 года, когда Microsoft объявила о своей инициативе Trustworthy Computing , была проделана большая работа по превращению Windows Vista в более безопасную операционную систему, чем ее предшественники. Корпорация Майкрософт приняла « Жизненный цикл разработки безопасности » [1], в основе которого лежит принцип «Безопасность по дизайну, безопасность по умолчанию, безопасность при развертывании». Новый код для Windows Vista был разработан с использованием методологии SDL, и весь существующий код был пересмотрен и переработан для повышения безопасности.

Некоторые конкретные области, в которых Windows Vista представляет новые механизмы безопасности и защиты, включают контроль учетных записей пользователей, родительский контроль, защиту доступа к сети , встроенное средство защиты от вредоносных программ и новые механизмы защиты цифрового контента.

Контроль учетных записей пользователей [ править ]

Основная статья: Контроль учетных записей пользователей

Контроль учетных записей пользователей - это новая инфраструктура, которая требует согласия пользователя перед тем, как разрешить любое действие, требующее прав администратора. Благодаря этой функции все пользователи, включая пользователей с административными привилегиями, по умолчанию работают в стандартном пользовательском режиме, поскольку большинству приложений не требуются более высокие привилегии. При попытке выполнить какое-либо действие, требующее административных прав, например, установка нового программного обеспечения или изменение параметров системы или безопасности, Windows предложит пользователю разрешить это действие или нет. Если пользователь решает разрешить, процесс, инициирующий действие, повышается до контекста с более высокими привилегиями для продолжения. В то время как стандартным пользователям необходимо ввести имя пользователя и пароль учетной записи администратора, чтобы повысить уровень процесса ( учетные данные через плечо), администратор может выбрать запрос только на согласие или запрос учетных данных. Если пользователь не нажимает Да, через 30 секунд запрос будет отклонен.

UAC запрашивает учетные данные в режиме безопасного рабочего стола , когда весь экран затемняется и временно отключен, чтобы представить только пользовательский интерфейс повышения прав. Это сделано для предотвращения подмены пользовательского интерфейса или мыши приложением, запрашивающим повышение прав. Если приложение, запрашивающее повышение прав, не имеет фокуса до переключения на безопасный рабочий стол , его значок на панели задач мигает, а при фокусировке отображается пользовательский интерфейс повышения прав (однако невозможно предотвратить незаметное получение фокуса вредоносным приложением) .

Поскольку Secure Desktop позволяет запускать только системные приложения с наивысшими привилегиями , ни одно приложение пользовательского режима не может отображать свои диалоговые окна на этом рабочем столе, поэтому любой запрос на согласие на повышение можно смело считать подлинным. Кроме того, это также может помочь защитить от атак взлома , которые перехватывают межпроцессные сообщения Windows для запуска вредоносного кода или подделки пользовательского интерфейса, предотвращая отправку сообщений неавторизованным процессам процессам с высоким уровнем привилегий. Любой процесс, который хочет отправить сообщение процессу с высокими привилегиями, должен получить повышение до контекста с более высокими привилегиями через UAC.

Приложения, написанные с предположением, что пользователь будет работать с правами администратора, испытывали проблемы в более ранних версиях Windows при запуске с ограниченными учетными записями пользователей, часто из-за того, что они пытались выполнить запись в общесистемные каталоги (например, Program Files ) или разделы реестра (особенно HKLM ) [2] UAC пытается решить эту проблему с помощью виртуализации файлов и реестра., который перенаправляет записи (и последующие чтения) в расположение для каждого пользователя в профиле пользователя. Например, если приложение пытается записать в «C: \ program files \ appname \ settings.ini», а у пользователя нет разрешений на запись в этот каталог, запись будет перенаправлена ​​в «C: \ Users \ username. \ AppData \ Local \ VirtualStore \ Program Files \ appname \ ».

Шифрование [ править ]

Основные статьи: BitLocker , шифрованная файловая система и модуль доверенной платформы

BitLocker, ранее известный как «Безопасный запуск», эта функция предлагает полное шифрование диска для системного тома. Используя утилиту командной строки, можно зашифровать дополнительные тома. Bitlocker использует USB-ключ или доверенный платформенный модуль (TPM) версии 1.2 спецификации TCG для хранения ключа шифрования. Он обеспечивает запуск компьютера под управлением Windows Vista в заведомо исправном состоянии, а также защищает данные от несанкционированного доступа. [3] Данные на томе зашифрованы с помощью ключа шифрования полного тома (FVEK), который дополнительно зашифровывается с помощью главного ключа тома (VMK) и сохраняется на самом диске.

Windows Vista - первая операционная система Microsoft Windows, которая предлагает встроенную поддержку TPM 1.2, предоставляя набор API, команд, классов и служб для использования и управления TPM. [4] [5] Новая системная служба, называемая базовыми службами TPM, обеспечивает доступ и совместное использование ресурсов TPM для разработчиков, которые хотят создавать приложения с поддержкой устройства. [6]

Шифрованную файловую систему (EFS) в Windows Vista можно использовать для шифрования системного файла подкачки и кэша автономных файлов для каждого пользователя . EFS также более тесно интегрирована с корпоративной инфраструктурой открытых ключей (PKI) и поддерживает восстановление ключей на основе PKI, восстановление данных с помощью сертификатов восстановления EFS или их комбинацию. Существуют также новые групповые политики, требующие смарт-карт для EFS, принудительное шифрование файла подкачки, оговаривающая минимальную длину ключа для EFS, принудительное шифрование папки документов пользователя и запрещение самозаверяющих сертификатов. Кэш ключей шифрования EFS может быть очищен, когда пользователь блокирует свою рабочую станцию ​​или по истечении определенного времени.

Мастер смены ключей EFS позволяет пользователю выбрать сертификат для EFS, а также выбрать и перенести существующие файлы, которые будут использовать недавно выбранный сертификат. Диспетчер сертификатов также позволяет пользователям экспортировать свои сертификаты восстановления EFS и закрытые ключи. Напоминание пользователям о необходимости резервного копирования ключей EFS при первом использовании отображается в виде всплывающего уведомления . Мастер смены ключей также можно использовать для переноса пользователей в существующих установках с сертификатов программного обеспечения на смарт-карты . Мастер также может использоваться администратором или самими пользователями в ситуациях восстановления. Этот метод более эффективен, чем дешифрование и повторное шифрование файлов.

Брандмауэр Windows [ править ]

Основная статья: Брандмауэр Windows

Windows Vista значительно улучшает брандмауэр [7], чтобы устранить ряд проблем, связанных с гибкостью брандмауэра Windows в корпоративной среде:

  • Фильтрация IPv6- соединений
  • Фильтрация исходящих пакетов, отражающая растущую озабоченность по поводу шпионского ПО и вирусов, которые пытаются «позвонить домой».
  • С помощью расширенного фильтра пакетов можно также указать правила для IP-адресов источника и назначения и диапазонов портов.
  • Правила могут быть настроены для служб по имени службы, выбранному из списка, без необходимости указывать полное имя файла пути.
  • IPsec полностью интегрирован, что позволяет разрешать или запрещать подключения на основе сертификатов безопасности, проверки подлинности Kerberos и т. Д. Шифрование также может потребоваться для любого типа подключения. Правило безопасности подключения можно создать с помощью мастера, который обрабатывает сложную настройку политик IPsec на машине. Брандмауэр Windows может разрешать трафик в зависимости от того, защищен ли он IPsec.
  • Новая оснастка консоли управления под названием Брандмауэр Windows в режиме повышенной безопасности, которая обеспечивает доступ ко многим расширенным параметрам, включая конфигурацию IPsec , и обеспечивает удаленное администрирование.
  • Возможность иметь отдельные профили брандмауэра, когда компьютеры присоединены к домену или подключены к частной или общедоступной сети. Поддержка создания правил для применения политик изоляции сервера и домена.

Защитник Windows [ править ]

Основная статья: Защитник Windows

Windows Vista включает Защитник Windows, служебную программу Microsoft для защиты от шпионского ПО. Согласно Microsoft, он был переименован в «Microsoft AntiSpyware», потому что он не только включает сканирование системы на предмет шпионского ПО, как и другие бесплатные продукты на рынке, но также включает агентов безопасности в реальном времени, которые отслеживают несколько общих областей Windows на предмет изменений, которые может быть вызвано шпионским ПО. Эти области включают настройку и загрузки Internet Explorer, автозапуск приложений, параметры конфигурации системы и надстройки для Windows, такие как расширения Windows Shell.

Защитник Windows также включает возможность удалять установленные приложения ActiveX и блокировать запускаемые программы. Он также включает сеть SpyNet , которая позволяет пользователям связываться с Microsoft, отправлять то, что они считают шпионским, и проверять, какие приложения приемлемы.

Контроль установки устройства [ править ]

Windows Vista позволяет администраторам применять аппаратные ограничения с помощью групповой политики, чтобы запретить пользователям устанавливать устройства, ограничить установку устройств предварительно определенным белым списком или ограничить доступ к съемным носителям и классам устройств. [8] [9]

Родительский контроль [ править ]

Родительский контроль Windows Vista, отображающий функции для ограничения стандартной учетной записи пользователя Danielle

Windows Vista включает ряд средств родительского контроля для администраторов, позволяющих контролировать и ограничивать компьютерную активность стандартных учетных записей пользователей, не входящих в домен ; Контроль учетных записей пользователей предусматривает административные ограничения. Возможности включают: Windows Vista Web Filter - реализованный как фильтр Winsock LSP для работы во всех веб-браузерах - который запрещает доступ к веб-сайтам на основе категорий контента или определенных адресов (с возможностью блокировать все загрузки файлов); Ограничения по времени , которые не позволяют обычным пользователям входить в систему в течение даты или времени, указанных администратором (и которые блокируют ограниченные учетные записи, которые уже вошли в систему в это время);Ограничения игр , которые позволяют администраторам блокировать игры на основе названий, содержимого или рейтингов, определенных системой рейтинга контента видеоигр, например Советом по рейтингам развлекательного программного обеспечения (ESRB) , причем ограничения контента имеют приоритет над ограничениями рейтинга (например, для всех 10+ (E10 +) игры могут быть разрешены для запуска в целом, но игры E10 + с мягким языком все равно будут заблокированы, если заблокирован сам мягкий язык); Ограничения приложений , при котором используются белые списки приложений для определенных приложений; и отчеты о действиях , которые отслеживают и записывают действия ограниченных стандартных учетных записей пользователей.

Родительский контроль Windows включает расширяемый набор параметров с интерфейсами программирования приложений (API), позволяющими разработчикам заменять связанные функции собственными.

Функциональность защиты от эксплойтов [ править ]

Windows Vista использует случайную выборку адресного пространства (ASLR) для загрузки системных файлов по случайным адресам в памяти. [10] По умолчанию все системные файлы загружаются случайным образом в любое из 256 возможных мест. Другие исполняемые файлы должны специально устанавливать бит в заголовке файла Portable Executable (PE) , который является форматом файла для исполняемых файлов Windows, чтобы использовать ASLR. Для таких исполняемых файлов размер стека и кучи определяется случайным образом. Загружая системные файлы по случайным адресам, вредоносному коду становится сложнее узнать, где расположены привилегированные системные функции, что делает маловероятным их использование предсказуемо. Это помогает предотвратить большинство атак удаленного выполнения, предотвращая переполнение буфера возврата в libc. атаки.

Формат Portable Executable был обновлен для поддержки встраивания адреса обработчика исключений в заголовок. Каждый раз, когда генерируется исключение, адрес обработчика сверяется с адресом, хранящимся в исполняемом заголовке. Если они совпадают, исключение обрабатывается, в противном случае это указывает на то, что стек времени выполнения был скомпрометирован, и, следовательно, процесс завершен.

Указатели функций запутываются с помощью операции XOR со случайным числом, так что фактический адрес, на который указывает, трудно получить. Таким образом, было бы вручную изменить указатель, поскольку ключ обфускации, используемый для указателя, было бы очень трудно получить. Таким образом, для любого неавторизованного пользователя указателя на функцию затрудняется его фактическое использование. Также метаданные для блоков кучи подвергаются операции XOR со случайными числами. Кроме того, поддерживаются контрольные суммы для блоков кучи, которые используются для обнаружения несанкционированных изменений и повреждения кучи. При обнаружении повреждения кучи приложение завершается, чтобы предотвратить успешное завершение эксплойта.

Двоичные файлы Windows Vista включают встроенную поддержку обнаружения переполнения стека. Когда обнаруживается переполнение стека в двоичных файлах Windows Vista, процесс прекращается, поэтому его нельзя использовать для продолжения эксплойта. Также двоичные файлы Windows Vista размещают буферы выше в памяти, а не буферы, такие как указатели и предоставленные параметры, в нижней области памяти. Таким образом, для фактического использования требуется опустошение буфера для получения доступа к этим местоположениям. Однако опустошение буфера встречается гораздо реже, чем переполнение буфера.

Изоляция приложения [ править ]

Основные статьи: Обязательный контроль целостности и изоляция привилегий пользовательского интерфейса

В Windows Vista введен обязательный контроль целостности, позволяющий устанавливать уровни целостности для процессов. Процесс с низкой целостностью не может получить доступ к ресурсам процесса с более высокой степенью целостности. Эта функция используется для обеспечения изоляции приложений, когда приложения со средним уровнем целостности, такие как все приложения, работающие в стандартном пользовательском контексте, не могут подключаться к процессам системного уровня, которые выполняются с высоким уровнем целостности, таким как приложения режима администратора, но могут подключаться на процессы с более низким уровнем целостности, такие как Windows Internet Explorer 7 или 8. Процесс с более низкими привилегиями не может выполнить проверку дескриптора окна с более высокой привилегией процесса, не может SendMessage или PostMessage для окон приложений с более высокими привилегиями, не может использовать перехватчики потоков для присоединения к процессу с более высокими привилегиями, не может использовать перехватчики журнала для отслеживания процесса с более высокими привилегиями и не может выполнять DLL – инъекция в процесс с более высокими привилегиями.

Предотвращение выполнения данных [ править ]

Основная статья: Предотвращение выполнения данных

Windows Vista предлагает полную поддержку функции NX (No-Execute) современных процессоров. [11] DEP была введена в ОС Windows XP с пакетом обновления 2 и Windows Server 2003 с пакетом обновления 1. Эта функция, настоящее , как NX (EVP) в AMD 's AMD64 процессоров и , как XD (ЕАБР) в Intel ' процессоров s, могут сигнализировать определенный части памяти как содержащие данные вместо исполняемого кода, что предотвращает ошибки переполнения, приводящие к выполнению произвольного кода.

Если процессор поддерживает бит NX, Windows Vista автоматически применяет аппаратное предотвращение выполнения данных для всех процессов, чтобы пометить некоторые страницы памяти как неисполняемые сегменты данных (например, кучу и стек), и впоследствии любые данные не могут быть интерпретированы. и выполняется как код. Это предотвращает внедрение кода эксплойта в виде данных и его последующее выполнение.

Если DEP включен для всех приложений , пользователи получают дополнительную защиту от эксплойтов нулевого дня . Но не все приложения являются DEP-совместимыми, и некоторые из них будут генерировать исключения DEP. Таким образом, DEP не применяется по умолчанию для всех приложений.в 32-битных версиях Windows и включен только для критических компонентов системы. Однако в Windows Vista введены дополнительные элементы управления политикой NX, которые позволяют разработчикам программного обеспечения включать аппаратную защиту NX для своего кода независимо от общесистемных параметров обеспечения совместимости. Разработчики могут помечать свои приложения как NX-совместимые при создании, что позволяет применять защиту при установке и запуске этого приложения. Это обеспечивает более высокий процент кода, защищенного NX, в экосистеме программного обеспечения на 32-разрядных платформах, где политика совместимости системы по умолчанию для NX настроена для защиты только компонентов операционной системы. Для приложений x86-64 обратная совместимость не является проблемой, поэтому DEP применяется по умолчанию для всех 64-разрядных программ. Также,в версиях x86-64 Windows Vista для большей безопасности используется только DEP с усилением процессора.

Управление цифровыми правами [ править ]

Основная статья: Protected Media Path

В Windows Vista введены новые функции управления цифровыми правами и защиты контента, которые помогают поставщикам цифрового контента и корпорациям защитить свои данные от копирования.

  • PUMA: Protected User Mode Audio (PUMA) - это новый звуковой стек в пользовательском режиме Audio (UMA). Его цель - предоставить среду для воспроизведения звука, которая ограничивает копирование аудио, защищенного авторским правом, и ограничивает разрешенные аудиовыходы теми, которые разрешены издателем защищенного контента. [12]
  • Protected Video Path - Output Protection Management (PVP-OPM) - это технология, предотвращающая копирование защищенных цифровых видеопотоков или их отображение на видеоустройствах, не имеющих эквивалентной защиты от копирования (обычно HDCP ). Microsoft утверждает, что без этих ограничений индустрия контента может помешать компьютерам воспроизводить контент, защищенный авторским правом, отказавшись выдать лицензионные ключи для шифрования, используемого HD DVD, Blu-ray Disc или другими системами, защищенными от копирования. [12]
  • Защищенный путь видео - шина, доступная пользователю (PVP-UAB), аналогична PVP-OPM, за исключением того, что она применяет шифрование защищенного контента по шине PCI Express .
  • Служба управления правами (RMS) поддерживает технологию, которая позволит корпорациям применять ограничения, подобные DRM, к корпоративным документам, электронной почте и интранетам, чтобы защитить их от копирования, печати или даже открытия людьми, не уполномоченными на это.
  • Windows Vista вводит защищенный процесс , [13] , который отличается от обычных процессов , в том смысле , что другие процессы не могут управлять состоянием такого процесса, и не могут потоки из других процессов быть введены в него. Защищенный процесс имеет расширенный доступ к DRM-функциям Windows Vista. Однако в настоящее время только приложения, использующие защищенный путь видео, могут создавать защищенные процессы.

Включение новых функций управления цифровыми правами вызвало критику в адрес Windows Vista .

Повышение безопасности служб Windows [ править ]

Усиление защиты служб Windows разделяет службы таким образом, что в случае взлома одной службы она не может легко атаковать другие службы в системе. Он предотвращает выполнение службами Windows операций с файловыми системами, реестром или сетями [14], которых они не должны делать, тем самым уменьшая общую поверхность атаки в системе и предотвращая проникновение вредоносных программ с использованием системных служб . Службам теперь назначается идентификатор безопасности (SID) для каждой службы , который позволяет контролировать доступ к службе в соответствии с доступом, указанным идентификатором безопасности. Идентификатор безопасности для каждой службы может быть назначен во время установки службы через API ChangeServiceConfig2 или с помощьюSC.EXEкоманда с глаголом sidtype . Службы также могут использовать списки управления доступом (ACL) для предотвращения внешнего доступа к частным ресурсам.

Службы в Windows Vista также запускаются с менее привилегированной учетной записью, такой как локальная служба или сетевая служба , вместо системной учетной записи. Предыдущие версии Windows запускали системные службы в том же сеансе входа в систему, что и локально зарегистрированный пользователь (сеанс 0). В Windows Vista сеанс 0 теперь зарезервирован для этих служб, и все интерактивные входы выполняются в других сеансах. [15] Это предназначено, чтобы помочь смягчить класс уязвимостей системы передачи сообщений Windows, известный как атаки Shatter . Процесс, на котором размещена служба, имеет только права, указанные в параметре реестра RequiredPrivileges в разделе HKLM \ System \ CurrentControlSet \ Services..

Службам также требуются явные разрешения на запись для записи в ресурсы для каждой службы. При использовании токена доступа с ограничением записи только те ресурсы, которые должны быть изменены службой, получают доступ на запись, поэтому попытка изменить любой другой ресурс не удастся. Службы также будут иметь предварительно настроенную политику брандмауэра, которая дает им столько привилегий, сколько необходимо для правильной работы. Независимые поставщики программного обеспечения также могут использовать усиление защиты служб Windows для усиления защиты своих собственных служб. Windows Vista также укрепляет именованные каналы, используемые RPC- серверами, чтобы предотвратить их захват другими процессами.

Аутентификация и вход в систему [ править ]

Основная статья: Winlogon

Графическая идентификация и аутентификация ( GINA ), используемые для безопасной аутентификации и интерактивного входа в систему, были заменены поставщиками учетных данных . В сочетании с поддерживающим оборудованием поставщики учетных данных могут расширить операционную систему, чтобы пользователи могли входить в систему с помощью биометрических устройств (отпечатков пальцев, сетчатки глаза или распознавания голоса), паролей, PIN-кодов и смарт-карт.сертификаты или любые настраиваемые пакеты аутентификации и схемы, которые желают создать сторонние разработчики. Аутентификация смарт-карты является гибкой, поскольку требования к сертификату смягчены. Предприятия могут разрабатывать, развертывать и, при необходимости, применять специальные механизмы аутентификации для всех пользователей домена. Поставщики учетных данных могут быть разработаны для поддержки единого входа (SSO), аутентификации пользователей в защищенной точке доступа к сети (с использованием RADIUS и других технологий), а также входа в систему. Поставщики учетных данных также предназначены для поддержки сбора учетных данных для конкретных приложений и могут использоваться для аутентификации на сетевых ресурсах, присоединения компьютеров к домену или для предоставления согласия администратора на управление учетными записями пользователей.. Аутентификация также поддерживается с использованием IPv6 или веб-служб . Новый поставщик услуг безопасности, CredSSP, доступен через интерфейс поставщика поддержки безопасности, который позволяет приложению делегировать учетные данные пользователя от клиента (с помощью SSP на стороне клиента) на целевой сервер (через SSP на стороне сервера). CredSSP также используется службами терминалов для обеспечения единой регистрации .

Windows Vista может аутентифицировать учетные записи пользователей с помощью смарт-карт или комбинации паролей и смарт-карт ( двухфакторная аутентификация ). Windows Vista также может использовать смарт-карты для хранения ключей EFS . Это гарантирует, что зашифрованные файлы будут доступны только до тех пор, пока физически доступна смарт-карта. Если для входа в систему используются смарт-карты, EFS работает в режиме единого входа , в котором используется смарт-карта входа в систему для шифрования файлов без запроса PIN-кода.

Быстрое переключение пользователей, которое было ограничено компьютерами рабочих групп в Windows XP, теперь также может быть включено для компьютеров, присоединенных к домену, начиная с Windows Vista. Windows Vista также включает поддержку проверки подлинности для контроллеров домена только для чтения, представленных в Windows Server 2008 .

Криптография [ править ]

Основная статья: Криптографический API

В Windows Vista есть обновление для криптографического API, известного как Cryptography API: Next Generation (CNG). CNG API является пользовательский режим и режиме ядра API , который включает в себя поддержку криптографии на эллиптических кривых (ECC) , а также ряд новых алгоритмов , которые являются частью Агентства национальной безопасности (NSA) Suite B . Он расширяемый, с поддержкой подключения настраиваемых криптографических API-интерфейсов в среду выполнения CNG. Он также интегрируется с подсистемой смарт-карт , включая базовый CSP.модуль, который реализует все стандартные внутренние криптографические функции, необходимые разработчикам и производителям смарт-карт, так что им не нужно писать сложные CSP . Центр сертификации Microsoft может выдавать сертификаты ECC, а клиент сертификата может регистрировать и проверять сертификаты на основе ECC и SHA-2.

Улучшения отзыва включают встроенную поддержку протокола онлайн-статуса сертификата (OCSP), обеспечивающего проверку действительности сертификата в реальном времени, предварительную выборку CRL и диагностику CAPI2. Регистрация сертификатов основана на мастере, позволяет пользователям вводить данные во время регистрации и предоставляет четкую информацию о неудачных регистрациях и просроченных сертификатах. CertEnroll, новый API регистрации на основе COM заменяет библиотеку XEnroll для гибкости программирования. Возможности роуминга учетных данных реплицируют пары ключей Active Directory, сертификаты и учетные данные, хранящиеся в сохраненных именах пользователей и паролях в сети.

Защита доступа к сети [ править ]

Основная статья: Защита доступа к сети

Windows Vista представляет защиту доступа к сети (NAP), которая гарантирует, что компьютеры, подключающиеся к сети или взаимодействующие с ней, соответствуют требуемому уровню работоспособности системы, установленному администратором сети. В зависимости от политики, установленной администратором, компьютеры, которые не соответствуют требованиям, будут предупреждены и предоставлен доступ, разрешен доступ к ограниченным сетевым ресурсам или полностью запрещен доступ. NAP также может дополнительно предоставлять обновления программного обеспечения на несовместимый компьютер, чтобы обновить себя до уровня, необходимого для доступа к сети, с помощью сервера исправления . Соответствующему клиенту выдается сертификат работоспособности , который он затем использует для доступа к защищенным ресурсам в сети.

Network Policy Server , работает Windows Server 2008 действует как сервер политики здравоохранения и клиенты должны использовать Windows XP SP3 или более поздней версии. VPN - сервер, RADIUS - сервер или DHCP - сервер также может выступать в качестве сервера политики в области здравоохранения.

Другие функции безопасности, связанные с сетью [ править ]

  • Интерфейсы безопасности TCP / IP (фильтрация трафика локального хоста), перехватчик брандмауэра, перехватчик фильтра и хранилище информации о фильтре пакетов были заменены новой структурой, известной как платформа фильтрации Windows (WFP). WFP обеспечивает возможность фильтрации на всех уровнях стека протоколов TCP / IP. WFP интегрирован в стек, и разработчикам проще создавать драйверы, службы и приложения, которые должны фильтровать, анализировать или изменять трафик TCP / IP.
  • Чтобы обеспечить лучшую безопасность при передаче данных по сети, Windows Vista предоставляет усовершенствования криптографических алгоритмов, используемых для обфускации данных. Поддержка 256-битных и 384-битных алгоритмов Эллиптической кривой Диффи – Хеллмана (DH), а также 128-битных, 192-битных и 256-битных расширенных стандартов шифрования (AES) включена в сам сетевой стек и в Протокол Kerberos и сообщения GSS . Прямая поддержка соединений SSL и TLS в новом WinsockAPI позволяет приложениям сокетов напрямую контролировать безопасность своего трафика в сети (например, предоставлять политику безопасности и требования к трафику, запрашивать параметры безопасности) вместо того, чтобы добавлять дополнительный код для поддержки безопасного соединения. Компьютеры под управлением Windows Vista могут быть частью логически изолированных сетей в домене Active Directory . Только компьютеры, находящиеся в одном логическом разделе сети, смогут получить доступ к ресурсам в домене. Даже если другие системы могут физически находиться в одной сети, если они не находятся в одном логическом разделе, они не смогут получить доступ к разделенным ресурсам. Система может быть частью нескольких сетевых разделов. Schannel SSP включает новые наборы шифров, которые поддерживаютКриптография с эллиптической кривой , поэтому комплекты шифров ECC могут быть согласованы как часть стандартного рукопожатия TLS. Интерфейс Schannel является подключаемым, поэтому расширенные комбинации наборов шифров могут заменить более высокий уровень функциональности.
  • IPsec теперь полностью интегрирован с брандмауэром Windows и предлагает упрощенную настройку и улучшенную аутентификацию. IPsec поддерживает IPv6, включая поддержку обмен ключей в Интернете (IKE), AuthIP и шифрование данных, клиент-to - DC защиты, интеграция с защитой доступа к сети поддержки и сети Diagnostics Framework. Чтобы повысить безопасность и возможность развертывания IPsec VPN , Windows Vista включает AuthIP, который расширяет криптографический протокол IKE , добавляя такие функции, как проверка подлинности с использованием нескольких учетных данных, согласование альтернативных методов и асимметричная проверка подлинности. [16]
  • Безопасность беспроводных сетей улучшается за счет лучшей поддержки новых стандартов беспроводной связи, таких как 802.11i ( WPA2 ). EAP Transport Layer Security (EAP-TLS) - это режим аутентификации по умолчанию. Соединения выполняются на наиболее безопасном уровне соединения, поддерживаемом точкой беспроводного доступа. WPA2 можно использовать даже в специальном режиме. Windows Vista повышает безопасность при присоединении к домену по беспроводной сети. Он может использовать единый вход, чтобы использовать те же учетные данные для присоединения к беспроводной сети, а также к домену, размещенному в сети. [17] В этом случае один и тот же сервер RADIUS используется для обоих PEAPаутентификация для присоединения к сети и аутентификация MS-CHAP v2 для входа в домен. Загрузочный профиль беспроводной сети также может быть создан на беспроводном клиенте, который сначала аутентифицирует компьютер в беспроводной сети и подключается к ней. На этом этапе машина все еще не имеет доступа к ресурсам домена. Машина запустит сценарий, хранящийся в системе или на USB-накопителе, который аутентифицирует его в домене. Аутентификация может быть выполнена с использованием комбинации имени пользователя и пароля или сертификатов безопасности от поставщика инфраструктуры открытых ключей (PKI), такого как VeriSign .
  • Windows Vista также включает платформу Extensible Authentication Protocol Host (EAPHost), которая обеспечивает расширяемость методов аутентификации для часто используемых технологий защищенного доступа к сети, таких как 802.1X и PPP. [18] Он позволяет поставщикам сетей разрабатывать и легко устанавливать новые методы аутентификации, известные как методы EAP.
  • Windows Vista поддерживает использование PEAP с PPTP . Поддерживаемые механизмы аутентификации: PEAPv0 / EAP-MSCHAPv2 (пароли) и PEAP-TLS (смарт-карты и сертификаты).
  • Пакет обновления 1 для Windows Vista включает Secure Socket Tunneling Protocol , новый проприетарный протокол VPN Microsoft , который обеспечивает механизм для передачи трафика протокола точка-точка (PPP) (включая трафик IPv6 ) через канал SSL .

особенности x86-64 [ править ]

  • В 64-разрядных версиях Windows Vista применяется аппаратное предотвращение выполнения данных (DEP) без программной эмуляции резервного копирования. Это гарантирует, что менее эффективный программный DEP (который является только безопасной обработкой исключений и не связан с битом NX) не используется. Кроме того, DEP по умолчанию применяется для всех 64-битных приложений и служб в версиях x86-64 и тех 32-битных приложений, которые выбирают. Напротив, в 32-битных версиях программно-принудительное DEP является доступным вариантом и по умолчанию включен только для основных компонентов системы.
  • Обновленная защита ядра от исправлений , также называемая PatchGuard , не позволяет стороннему программному обеспечению, включая драйверы режима ядра, каким-либо образом изменять ядро ​​или любую структуру данных, используемую ядром; при обнаружении каких-либо модификаций система отключается. Это смягчает распространенную тактику, используемую руткитами для сокрытия себя от приложений пользовательского режима. [19] PatchGuard впервые был представлен в версии x64 Windows Server 2003 Service Pack 1 и был включен в версию Windows XP Professional x64.
  • Драйверы режима ядра в 64-разрядных версиях Windows Vista должны иметь цифровую подпись; даже администраторы не смогут установить неподписанные драйверы режима ядра. [20] Доступна опция времени загрузки для отключения этой проверки для одного сеанса Windows. Для 64-разрядных драйверов пользовательского режима не требуется цифровая подпись.
  • Проверка целостности кода - сумма подписанного кода. Перед загрузкой системных двоичных файлов он сверяется с контрольной суммой, чтобы убедиться, что она не изменилась. Бинарные файлы проверяются путем поиска их подписей в системных каталогах. Загрузчик Windows Vista проверяет целостность ядра, уровня абстракции оборудования (HAL) и драйверов при запуске. Помимо объема памяти ядра, Code Integrity проверяет двоичные файлы, загруженные в защищенный процесс, и установленные системой динамические библиотеки, которые реализуют основные криптографические функции.

Другие особенности и изменения [ править ]

Был внесен ряд конкретных изменений в безопасность и надежность:

  • Более надежное шифрование используется для хранения секретов LSA (кэшированных записей домена, паролей, ключей шифрования EFS, локальной политики безопасности, аудита и т. Д.) [21]
  • Поддержка стандарта аутентификации IEEE 1667 для USB-накопителей с исправлением для Windows Vista Service Pack 2. [22]
  • SSP Kerberos был обновлен для поддержки шифрования AES . [23] SChannel SSP также имеет более надежное шифрование AES и поддержку ECC . [24]
  • Политики ограниченного использования программ, представленные в Windows XP, были улучшены в Windows Vista. [25] Основной пользовательский уровень безопасности подвергается по умолчанию , вместо того , чтобы быть скрыты. Алгоритм правила хеширования по умолчанию был обновлен с MD5 до более сильного SHA256 . Теперь правила сертификата можно включить в диалоговом окне «Свойство принудительного применения» в расширении оснастки «Политики ограниченного использования программ».
  • Чтобы предотвратить случайное удаление Windows, Vista не позволяет форматировать загрузочный раздел, когда он активен (щелкните правой кнопкой мыши диск C: и выберите «Форматировать» или введите «Форматировать C:» (без кавычек) в команде При приглашении появится сообщение о том, что форматирование этого тома запрещено). Чтобы отформатировать основной жесткий диск (диск, содержащий Windows), пользователь должен загрузить компьютер с установочного диска Windows или выбрать пункт меню «Восстановить компьютер» в расширенных параметрах восстановления системы, нажав клавишу F8 при включении компьютера.
  • Дополнительные параметры EFS позволяют настраивать, когда обновляются политики шифрования, шифруются ли файлы, перемещаемые в зашифрованные папки, шифрование файлов кэша автономных файлов и могут ли зашифрованные элементы индексироваться Windows Search .
  • Функция « Сохраненные имена пользователей и пароли» (диспетчер учетных данных) включает новый мастер для резервного копирования имен пользователей и паролей в файл и их восстановления в системах под управлением Windows Vista или более поздних операционных систем.
  • Новый параметр политики в групповой политике позволяет отображать дату и время последнего успешного интерактивного входа в систему, а также количество неудачных попыток входа в систему с момента последнего успешного входа в систему с тем же именем пользователя. Это позволит пользователю определить, использовалась ли учетная запись без его ведома. Политику можно включить для локальных пользователей, а также для компьютеров, подключенных к домену функционального уровня.
  • Защита ресурсов Windows предотвращает потенциально опасные изменения конфигурации системы [26] , предотвращая изменение системных файлов и параметров любым процессом, кроме установщика Windows . Также блокируются внесение изменений в реестр неавторизованным ПО.
  • Защищенный режим Internet Explorer: в Internet Explorer 7 и более поздних версиях внесены некоторые изменения безопасности, такие как фильтр фишинга, выбор ActiveX , защита обработки URL-адресов, защита от атак с использованием междоменных сценариев и подмена строки состояния. Они работают как процесс с низким уровнем целостности в Windows Vista, могут записывать только в папку временных файлов Интернета и не могут получить доступ на запись к файлам и ключам реестра в профиле пользователя, защищая пользователя от вредоносного содержимого и уязвимостей безопасности даже в элементах управления ActiveX. . Кроме того, Internet Explorer 7 и более поздние версии используют более безопасный API защиты данных ( DPAPI ) для хранения своих учетных данных, таких как пароли, вместо менее безопасных.Защищенное хранилище (PStore) .
  • Интеграция информации о сетевом расположении с брандмауэром Windows. Для всех вновь подключенных сетей по умолчанию используется «Общедоступное расположение», которое блокирует прослушивающие порты и службы. Если сеть помечена как надежная, Windows запоминает этот параметр для будущих подключений к этой сети.
  • Платформа драйверов пользовательского режима не позволяет драйверам напрямую обращаться к ядру, а вместо этого обращается к нему через специальный API. Эта новая функция важна, потому что большинство сбоев системы можно отнести к неправильно установленным сторонним драйверам устройств. [27]
  • Центр обеспечения безопасности Windows был обновлен, чтобы обнаруживать и сообщать о наличии антивирусного программного обеспечения, а также отслеживать и восстанавливать некоторые параметры безопасности Internet Explorer и Контроль учетных записей пользователей. Для антивирусного программного обеспечения, которое интегрируется с Центром безопасности , он представляет собой решение для устранения любых проблем в собственном пользовательском интерфейсе. Кроме того, были добавлены некоторые вызовы Windows API , позволяющие приложениям извлекать совокупное состояние работоспособности из Центра безопасности Windows и получать уведомления при изменении состояния работоспособности.
  • Защищенное хранилище (PStore) устарело и поэтому доступно только для чтения в Windows Vista. Microsoft рекомендует использовать DPAPI для добавления новых элементов данных PStore или управления существующими. [28] Internet Explorer 7 и более поздние версии также используют DPAPI вместо PStore для хранения своих учетных данных.
  • Встроенная учетная запись администратора по умолчанию отключена при чистой установке Windows Vista. К нему также нельзя получить доступ из безопасного режима, если есть хотя бы одна дополнительная учетная запись локального администратора.

См. Также [ править ]

  • Компьютерная безопасность

Ссылки [ править ]

  1. ^ Стив Липнер, Майкл Ховард (март 2005 г.). «Жизненный цикл развития надежной вычислительной безопасности» . Сеть разработчиков Microsoft . Проверено 15 февраля 2006 .
  2. ^ Чарльз (2007-03-05). «ОАК - Что. Как. Почему» (видео) . Проверено 23 марта 2007 .
  3. ^ «Пошаговое руководство по шифрованию диска BitLocker для Windows Vista Beta 2» . Microsoft TechNet. 2005 . Проверено 13 апреля 2006 .
  4. ^ «Пошаговое руководство по управлению модулями доверенной платформы Windows» . TechNet . Microsoft . Проверено 18 ноября 2014 года .
  5. ^ "Класс Win32_Tpm" . MSDN . Microsoft . Проверено 18 ноября 2014 года .
  6. ^ «Базовые службы TPM» . MSDN . Microsoft . Проверено 18 ноября 2014 года .
  7. В январском выпуске The Cable Guy за 2006 г. более подробно рассматриваются новые функции и интерфейсы брандмауэра Windows.
  8. ^ «Пошаговое руководство по управлению установкой устройства с помощью групповой политики» . MSDN . Microsoft .
  9. ^ «Управление ограничениями оборудования с помощью групповой политики» . Журнал TechNet . Microsoft .
  10. Майкл Ховард (26 мая 2006 г.). «Рандомизация разметки адресного пространства в Windows Vista» . Microsoft . Проверено 26 мая 2006 .
  11. ^ «Улучшения безопасности в Windows Vista» . Архивировано из оригинала на 2007-04-11 . Проверено 10 апреля 2007 .
  12. ^ a b «Защита выходного содержимого и Windows Vista» . ВСБМ . Microsoft. 27 апреля 2005 года Архивировано из оригинала 6 августа 2005 года . Проверено 30 апреля 2006 .
  13. ^ Защищенные процессы в Windows Vista
  14. ^ «Улучшения безопасности и защиты данных Windows Vista - Повышение безопасности служб Windows» . TechNet . Microsoft. 1 июня 2005 . Проверено 21 мая 2006 .
  15. ^ Влияние изоляции сеанса 0 на службы и драйверы в Windows Vista касается изменений изоляции сеанса в Windows Vista .
  16. ^ AuthIP в Windows Vista
  17. ^ The Cable Guy: беспроводной единый вход
  18. ^ EAPHost в Windows
  19. Филд, Скотт (11 августа 2006 г.). «Введение в защиту ядра от исправлений» . Блог о безопасности Windows Vista . Блоги MSDN . Проверено 12 августа 2006 года .
  20. ^ «Цифровые подписи для модулей ядра в системах на базе x64, работающих под управлением Windows Vista» . ВСБМ . Microsoft. 19 мая 2006 года архивации с оригинала на 12 апреля 2006 года . Проверено 19 мая 2006 года .
  21. ^ Секреты Windows LSA
  22. ^ Доступно обновление, которое обеспечивает поддержку устройств Enhanced Storage в Windows Vista и Windows Server 2008.
  23. ^ Улучшения Kerberos в Windows Vista: MSDN
  24. ^ Усовершенствования криптографии TLS / SSL в Windows Vista
  25. ^ Использование политик ограниченного использования программ для защиты от неавторизованного программного обеспечения
  26. ^ Функции управления Windows Vista
  27. ^ CNET.com (2007). "Окончательный обзор Windows Vista" . Проверено 31 января 2007 .
  28. ^ «Устарение SPAP (PStore)» . Архивировано из оригинала на 2008-04-21 . Проверено 17 апреля 2007 .

Внешние ссылки [ править ]

  • Уязвимости Vista от SecurityFocus