Невоспетый герой: безопасность Windows 8

Эта статья была первоначально опубликована Стэллой Черняк (Stella Chernyak ) на английском языке здесь.

В этом блоге уже опубликовано множество материалов о возможностях и пользе Windows 8 для бизнеса. Среди этих материалов — рассказы первых пользователей, работавших с Windows 8 самыми разными способами: от применения планшетов до использования приложений и Windows To Go. Почти в каждой из этих записей затрагивалась тема безопасности, но лишь вскользь. Сегодня я хотел бы подробнее рассказать о Windows 8 с точки зрения безопасности. В дальнейшем в блоге будут опубликованы и другие материалы на эту тему!

В нескольких поколениях Windows безопасность была важнейшим приоритетом. Windows 7 стала наиболее защищенной версией Windows, но мы чувствовали, что безопасность можно повышать и дальше. Мы намеревались улучшить уже существующие системы. Также необходимы были инновационные решения для противодействия новым угрозам. В Windows 8 безопасность остается одной из ключевых приоритетных областей для инвестиций. Мы представили широкий спектр новых функций для обеспечения безопасности и противодействия современным угрозам. В числе таких угроз:

• способность вредоносного программного обеспечения изменять ядро операционной системы и антивредоносные модули;
• сложность эффективной защиты корпоративных данных методами шифрования;
• высокая стоимость развертывания и использования надежной многофакторной аутентификации, а также и управления этой системой;
• трудности управления контролем доступа в динамичной и постоянно меняющейся среде.

Устойчивость к вредоносным программам

Создание продуктов, устойчивых к вредоносным программам, требует применения таких процессов, как жизненный цикл разработки безопасного ПО (Security Development Lifecycle, SDL), которые позволяют обеспечить безопасность программ на этапах проектирования, разработки и тестирования. Все программное обеспечение Microsoft разрабатывается в соответствии с этим циклом. И мы гордимся достигнутыми результатами, наглядным свидетельством которых служит отчет об ИТ-угрозах за третий квартал 2012 г. Лаборатории Касперского. В нем объясняется, почему продукты Microsoft больше не входят в десятку наиболее уязвимых продуктов. С учетом огромного числа пользователей Windows мы считаем это значительным достижением.

Даже если в Windows 8 будет обнаружена уязвимость, вероятность успешной атаки будет очень низка или совсем отсутствовать — компания много работала над этим. Исследователи в области компьютерной безопасности, изучившие предварительную версию операционной системы (Windows 8 Release Preview), выступили с докладами на июльской конференции Black Hat и отметили значительный прогресс в отношении безопасности Windows 8. Например, один крупный исследователь заявил, что отличия в безопасности Windows 7 и Windows 8 по масштабу соответствуют отличиям между Windows XP и Windows 7.

Мы не только сделали систему менее уязвимой, но и перепроектировали некоторые модули Windows 8 так, чтобы полностью обеспечить их устойчивость к вредоносным программам. Bootkit и rRotkit — это пресловутые вредоносные программы, позволяющие получить полный контроль над компьютером незаметно для операционной системы и антивредоносного ПО. Разработанные для Windows 8 функции, такие как безопасная и надежная загрузка, позволили полностью исключить их вмешательство на архитектурном уровне.

Функции безопасной и надежной загрузки обеспечивают защиту от некоторых из наиболее опасных типов вредоносных программ, но они не являются полнофункциональной системой безопасности, и поэтому их необходимо использовать в сочетании с качественным антивредоносным программным решением. Мы полностью убеждены в правильности именно такого подхода, и поэтому в состав каждого выпуска Windows 8 входит значительно улучшенная версия защитника Windows. Защитник Windows обеспечивает защиту от всех типов вредоносных программ, включая вирусы, вирусы-черви, программы-роботы и комплекты программ Rootkit. Это достигается благодаря применению полной базы сигнатур вредоносных программ из Центра Майкрософт по защите от вредоносных программ.

Защита корпоративных данных

Защита корпоративных данных имеет ключевое значение для пользователей. Вероятно, вы уже знаете, что управление шифрованием устройств любого производителя — это сложная задача. И, возможно, самая большая проблема — время, затрачиваемое на шифрование устройства. Этот процесс может занимать часы, и, в случае использования некоторых решений сторонних производителей, может даже снизить производительность работы пользователей в ходе шифрования.

Мы хотели сделать решения для шифрования Windows 8, включая BitLocker и BitLocker to Go, максимально быстрыми и удобными для конечного пользователя. Поэтому Windows 8 включает инструмент Data Only Encryption для шифрования только данных, который позволяет BitLocker шифровать только те области диска, которые заняты данными. Во многих случаях такой подход сокращает необходимое время с часов до минут. Использование Data Only Encryption — это значительное усовершенствование, но было бы лучше, если бы шифрование вообще не занимало бы времени. Шифрованные жесткие диски Encrypted Hard Drives, которые относятся к новому типу самошифрующихся устройств (Self-Encrypting Drive, SED), работают именно так. Шифрование обеспечивается аппаратными средствами, и защита диска с помощью BitLocker занимает не больше нескольких секунд.

Модернизация аутентификации и контроля доступа

Установка системы надежной многофакторной аутентификации в компании либо постоянно откладывается в долгий ящик, либо реализуется, но применяется лишь ограниченно. Развертывание надежной многофакторной аутентификации связано со многими затруднениями, среди которых сам процесс подготовки, стоимость такого решения и обеспечение поддержки. Поэтому мы разработали новый тип аутентификации — с помощью виртуальной смарт-карты. Использование виртуальной смарт-карты фактически означает превращение ПК с подключенным доверенным платформенным модулем в смарт-карту. Поскольку это программный процесс, он несложен для реализации и управления. Эта технология позволяет превратить надежную многофакторную аутентификацию из предмета роскоши в недорогое и стандартное средство обеспечения безопасности!

Стандартная модель контроля доступа существует уже очень давно. Есть объект, безопасность которого требуется обеспечить, и есть список пользователей, которым нужно предоставить к нему доступ. Проблема этой модели в том, что она основана на статичных списках, которыми необходимо управлять, при том что организация может постоянно меняться. Задача своевременного обновления списков становится практически неосуществимой. Мы хотели создать такие условия, чтобы в Windows 8 и Server 2012 средства управления доступом обновлялись автоматически в соответствии с организационными изменениями. Для этого мы внедрили новую функцию — динамический контроль доступа (Dynamic Access Control, DAC), которая позволяет предоставлять доступ к ресурсам на основе правил, оперирующих параметрами пользователя или устройства (например, подразделение, расположение, должность, уровень доступа и т. п.). Представьте, как удобно было бы создать правило, согласно которому все пользователи из финансового отдела, расположенного в США, состоящие в должности директора, имеют право доступа к квартальным отчетам. DAC позволяет использовать такие правила!

Надеюсь, что эти подробности, касающиеся трех основных областей системы безопасности Windows 8, которым мы уделили наиболее пристальное внимание, отвечают потребностям вашей организации. В дальнейшем будут опубликованы и другие материалы об этих возможностях системы безопасности. Если вы этого еще не сделали, рекомендую вам загрузить пробную версию Windows 8 и испытать ее самостоятельно. Думаю, вам понравится новая Windows, и вы оцените новые возможности системы безопасности.