Szilágyi Szabolcs 2012. május 30.,
Jelszavak helyett képek, Windows pendrive-on, fejlett antivírus megoldás - jelentősen bővül az új redmondi OS. Részletek cikkünkben.
Ha valaki még emlékszik, miért „késett” annyit a Windows Vista, akkor pontosan tudja, hogy a 2000-es évek elején elindított Megbízható Számítástechnika Kezdeményezés (Trustworthy Computing Initiative) okolható a csúszásért. Akkoriban döbbent rá a Microsoft, hogy mennyire elengedhetetlenül fontos az operációs rendszer magas fokú biztonsága; az azóta debütált OS-ek mindegyike tovább gazdagodott e téren. Nincsen ez most, a Windows 8 megjelenésének küszöbén sem másként.
Nézzük meg, mire számíthatunk e téren, annak figyelembevételével, hogy noha az év végi debütálás már nincsen messze, az operációs rendszer nincsen kész állapotban, így a végleges termékben lehetnek eltérések a mostani állapothoz képest!
Alapvető biztonsági képességek
Az itt felsorolt funkciók minden Windows 8 részét képezik (az egyes változatokról bővebben itt).
UEFI Secure Boot támogatás
A BIOS-t leváltani hivatott megoldás fontos biztonsági eszköz az új operációs rendszer tárházában. Engedélyezett állapotban gyakorlatilag teljesen ellenállóvá teszi az adott gépet az alacsonyszintű malware-ek, mint például a rootkitek ellenében. Secure Boot során ugyanis az operációs rendszer minden egyes boot komponens digitális aláírását hitelesíti, így nem bújhat meg titkos kártevő (feltéve, ha abba nem tudnak beépíteni ideig-óráig elfogadottnak tartott hitelesítést). Ha a rendszerindítás során felbukkan egy nem hiteles driver, akkor a Windows Recovery Enviroment megkísérli megjavítani az inkriminált összetevőt, így még fertőzés esetén is nagyon nagy az esély arra, hogy a bejutott malware végül nem tudja kifejteni ártó hatását.
SmartScreen filter
Az Internet Explorerben megjelent technológiát terjesztette ki a Microsoft a teljes operációs rendszerre. Az NSS Labs tesztjei szerint a modern böngészők közül ez a képesség tudja legjobban észlelni és blokkolni a közösségi malware-eket. Az URL és file/alkalmazás reputációs rendszerekre alapuló funkció révén a jelszóhalász és közösségi környezetben terjedő fenyegetések illetve a letöltött állományok kerülnek ellenőrzésre és blokkolásra. Találat esetén figyelmeztetést kap a felhasználó, és akkor is figyelemfelkeltő üzenettel találkozik, ha olyan file-t szerzett be, aminek értékelése még nem szerepel a rendszerben.
Integrált antimalware / Windows Defender
A Windows-t jól ismerőknek nem újdonság utóbbi; a Windows Defender az új operációs rendszerben a Microsoft Security Essentials antivírus képességeivel gyarapodott. A teljesítmény tekintetében is továbbfejlődött funkció kevesebb erőforrásigény mellett végzi hatékonyabban feladatát.
Ha valaki még emlékszik, miért „késett” annyit a Windows Vista, akkor pontosan tudja, hogy a 2000-es évek elején elindított Megbízható Számítástechnika Kezdeményezés (Trustworthy Computing Initiative) okolható a csúszásért. Akkoriban döbbent rá a Microsoft, hogy mennyire elengedhetetlenül fontos az operációs rendszer magas fokú biztonsága; az azóta debütált OS-ek mindegyike tovább gazdagodott e téren. Nincsen ez most, a Windows 8 megjelenésének küszöbén sem másként.
Nézzük meg, mire számíthatunk e téren, annak figyelembevételével, hogy noha az év végi debütálás már nincsen messze, az operációs rendszer nincsen kész állapotban, így a végleges termékben lehetnek eltérések a mostani állapothoz képest!
Alapvető biztonsági képességek
Az itt felsorolt funkciók minden Windows 8 részét képezik (az egyes változatokról bővebben itt).
UEFI Secure Boot támogatás
A BIOS-t leváltani hivatott megoldás fontos biztonsági eszköz az új operációs rendszer tárházában. Engedélyezett állapotban gyakorlatilag teljesen ellenállóvá teszi az adott gépet az alacsonyszintű malware-ek, mint például a rootkitek ellenében. Secure Boot során ugyanis az operációs rendszer minden egyes boot komponens digitális aláírását hitelesíti, így nem bújhat meg titkos kártevő (feltéve, ha abba nem tudnak beépíteni ideig-óráig elfogadottnak tartott hitelesítést). Ha a rendszerindítás során felbukkan egy nem hiteles driver, akkor a Windows Recovery Enviroment megkísérli megjavítani az inkriminált összetevőt, így még fertőzés esetén is nagyon nagy az esély arra, hogy a bejutott malware végül nem tudja kifejteni ártó hatását.
SmartScreen filter
Az Internet Explorerben megjelent technológiát terjesztette ki a Microsoft a teljes operációs rendszerre. Az NSS Labs tesztjei szerint a modern böngészők közül ez a képesség tudja legjobban észlelni és blokkolni a közösségi malware-eket. Az URL és file/alkalmazás reputációs rendszerekre alapuló funkció révén a jelszóhalász és közösségi környezetben terjedő fenyegetések illetve a letöltött állományok kerülnek ellenőrzésre és blokkolásra. Találat esetén figyelmeztetést kap a felhasználó, és akkor is figyelemfelkeltő üzenettel találkozik, ha olyan file-t szerzett be, aminek értékelése még nem szerepel a rendszerben.
Integrált antimalware / Windows Defender
A Windows-t jól ismerőknek nem újdonság utóbbi; a Windows Defender az új operációs rendszerben a Microsoft Security Essentials antivírus képességeivel gyarapodott. A teljesítmény tekintetében is továbbfejlődött funkció kevesebb erőforrásigény mellett végzi hatékonyabban feladatát.
Képalapú jelszavas védelem
Az angol terminológiában Picture Password néven említett képesség elsősorban az érintőképernyős eszközök számára készült, ahol a felhasználó kiválasztja az általa korábban beállított képet, majd három, szintén általa meghatározott ujjmozdulattal azonosítja magát - ez hitelesíti a rendszerbe való bejelentkezését. Például a user kiválaszthat egy képet, amin két ember látszik, majd mosolyt rajzol rá ujjaival, végül szemeket „bök rá”.
Windows Reader
Érdekes és kissé rejtett funkcióval gyarapodik a Windows 8, mely az új, integrált dokumentumolvasóban, a Windows Readerben található. A PDF-et is támogató program nagy erénye, hogy nem külső fejlesztők kénye-kedve szerint frissül, hanem az OS havi rendszerességgel zajló patch-elési ciklusához igazodóan. Ezzel nem csak a külső szoftverektől függetlenítheti magát a felhasználó, és teheti gyorsabbá és védettebbé a dokumentumformátumokra utazó fenyegetésekkel szemben rendszerét, de az alkalmazás plug-inek szükségessége is mérsékelhetővé válik. Ez a terület meglehetősen ingoványosnak számít, különösen a böngészőkben alkalmazott kiterjesztések szerepelnek előszeretettel a malware-írók palettáján.
ASLR és kockázatcsökkentés
Még a Windows Vistában bukkant fel az Address Space Layout Randomization (ASLR), melyet a hírhedt puffertúlcsordulásos (buffer overrun) hibák kiküszöbölésére dolgozott ki a Microsoft. Ezek a sérülékenységek az adatok és programkódok memóriában való véletlenszerű mozgatására alapulva fejthetik ki áldatlan hatásukat; az ezt megelőzni hivatott ASLR továbbfejlesztésre került a Windows 8-ban. Hasonló célból eszközölt változásokat Redmond a kernelben is, amely például új integritás-ellenőrzővel gyarapodott. Az Internet Explorer 10 szintén profitál ezekből; az úgynevezett „Enhanced Protected Mode” homokozó (sandbox) mellett lesz egy ForceASLR opció is a browserben, mellyel a szoftver minden egyes modulja a memória véletlenszerűen választott részébe kerül betöltésre, gyakorlatilag ellehetetlenítve ezzel a puffertúlcsordulásos hibákat.
Fejlett biztonsági képességek
A következő funkciók az otthoni változatokban már nem jelennek meg, csupán az üzleti célú felhasználásra hivatott Pro és Enterprise kiadásokban. Lássuk, mivel gyarapszik a vállalati szféra!
Bitlocker és Bitlocker To Go
Teljes lemezterület-titkosítást kínál a lehetőség; a Windows Vistában debütált funkció és a Windows 7-ben külső meghajtókra is kiterjesztett Bitlocker To Go sokat nem változott. Említést érdemel, hogy a titkosítási kulcs backupja immár a szintén redmondi SkyDrive Accountba is történhet.
File-rendszer titkosítása
Az EFS (Encrypting File System) eredetileg húsz éve, a Windows NT termékcsalád megjelenésével mutatkozott be; és noha továbbra is használható, a Bitlocker és egyéb, külső megoldások már idejétmúlttá tették. A Microsoft azonban kompatibilitási okokból benne hagyta operációs rendszerében az EFS-t.
Domain membership és Group Policy Objects
Mint korábban, úgy ezúttal is ez a két lehetőség különbözteti meg leginkább az üzleti célú Windows-okat a többitől. Központosítottan felügyelt környezetben ugyanis kritikus fontosságú, hogy az adott gép Active Directory tagja lehessen. A Microsoft új szabályokkal gazdagította a funkciót a Windows 8 esetében.
Windows 8 Enterprise biztonsági képességek
Végül, az új OS csúcsverziójának védelmi funkcionalitása a következőket kínálja:
Applocker
Redmond alkalmazásfelügyeleti megoldása, mely a Windows 7-ben mutatkozott be; fekete- és fehérlistás alapon egyaránt használható. Applockerrel rendszergazdai szinten határozható meg, mely alkalmazásokat lehet vagy nem lehet futtatni adott gépen, így tiltható például nem kívánt üzenőprogram vagy file-letöltő kliensek telepítése. Természetesen a kontroll az új Metro appokra is kiterjed.
DirectAccess
VPN megoldás, mellyel céges hálózatokkal lehet számítógépeket biztonságosan összekötni. A DirectAccess szükségtelenné teszi külső alkalmazások használatát, és így segíthet a vállalatoknak a megfelelősség betartásában távoli vagy mobil gépek esetében is. A funkció lényegében nem változott a Windows 7 óta.
Windows To Go
A Bring Your Own Device (BYOD) jegyében fogant lehetőség voltaképp egy komplett, rendszergazda által összeállított Windows 8 képet (image) jelent, melyet akár külső, USB-s drive-ra másolva is vállalati környezetben lehet dolgozni. Bármilyen 64 bites x86-os közegben bootolni képes; olyan menedzsment funkciókat tartalmaz, mint a Windows Update szabályzat, céges anti-malware megoldások és Bitlocker. Jelenleg használatához legalább 32 GB-nyi tárterületre van szükség.
