Несмотря на противоречивые мнения по поводу этой технологии в связи с потенциальными проблемами, которые она способна создавать в определенных сценариях, Secure Boot – очень важный компонент безопасности в новой версии Windows. UEFI (Unified Extensible Firmware Interface, унифицированный расширяемый интерфейс прошивки, текущая версия – 2.3.1) призван заменить собой традиционный BIOS (Basic Input Output System, базовая система ввода/вывода) в качестве интерфейса микропрограммного обеспечения компьютера нового поколения. Функция Secure Boot способна обеспечить исключительно надежную защиту Windows 8 от низкоуровневого вредоносного ПО типа руткитов. При использовании Secure Boot операционная система проверяет цифровые подписи всех загружаемых компонентов вплоть до драйвера антивирусного ПО, чтобы выявить попытки их злонамеренного изменения. Если компонент не имеет действительной подписи (то есть был изменен), загружается среда восстановления Windows (Windows Recovery Environment), которая пытается вернуть операционную систему к нормальному состоянию. Руткиты, как правило, изменяют ключевые системные файлы и активизируются еще при загрузке системы, до включения антивирусной защиты. Secure Boot обнаруживает любые изменения такого рода и предотвращает загрузку руткита. При развертывании Windows 8 на предприятии стоит включить эту функцию и запретить пользователям ее отключать.
Фильтр SmartScreen
Технология SmartScreen дебютировала в составе Internet Explorer, а теперь распространяется на всю операционную систему. По результатам испытаний NSS Labs, эта технология оказалась самой эффективной по сравнению с функциями безопасности других браузеров в том, что касается обнаружения и блокирования вредоносного ПО, распространяемого методами социальной инженерии. SmartScreen использует систему оценки репутации URL-адресов и файлов/приложений. Система оценки репутации URL-адресов призвана защитить пользователя от фишинга и атак, использующих принципы социальной инженерии. Система оценки репутации файлов отслеживает все загрузки и проверяет их репутацию. Если файл распознается как вредоносный, он блокируется, а на экран выводится вот такое предупреждение:
Рисунок A. Нажмите на изображении для увеличения.
Если это новый файл или системе он не знаком, появляется следующее предупреждение:
Рисунок B. Нажмите на изображении для увеличения.
При загрузке неизвестных файлов пользователь может проигнорировать эти предупреждения и все равно запустить файл, но у администратора есть возможность запретить игнорирование предупреждений.
Встроенный антивирус/Защитник Windows
В состав Windows 8 будет входить полноценное антивирусное решение: у Защитника Windows (Windows Defender) появятся антивирусные функции решения Microsoft Security Essentials. Новая версия Защитника также будет обладать повышенной производительностью при уменьшенном потреблении оперативной памяти и ресурсов процессора. В компаниях, правда, вместо этого все же стоит использовать полноценное антивирусное решение. Корпоративным пользователям уже пора поинтересоваться у вендоров своих избранных антивирусов, планируют ли они поддерживать Windows 8: совместимое антивирусное ПО в сочетании с функцией Secure Boot будет быстрее запускаться при загрузке системы, что уменьшит количество потенциальных «мертвых зон» в покрытии защиты.
Графический пароль
Графический пароль (Picture Password) – это новый сенсорный механизм входа в систему, позволяющий использовать любую фотографию по выбору пользователя и три сенсорных жеста на ее основе. Система сохраняет последовательность жестов в качестве пароля и позволяет использовать их для входа в систему. Привязка жестов к определенному изображению повышает надежность защиты. К примеру, можно выбрать фотографию, на которой запечатлены два человека, обвести улыбку на лице одного и прикоснуться к каждому глазу второго. Теоретически, это очень интересная альтернатива традиционным паролям, но надежность этой системы еще предстоит проверить на практике.
Windows Reader
Любопытное нововведение с точки зрения безопасности – Windows Reader, новый встроенный просмотрщик документов, который входит в состав Windows 8. Программа поддерживает PDF – формат, весьма популярный для вирусных атак. Включение в состав системы легкого просмотрщика, регулярно получающего исправления безопасности в ходе автоматического обновления Windows, теоретически способно повысить защищенность платформы, избавив от необходимости использовать потенциально незащищенные приложения и плагины.
ASLR и борьба с эксплойтами
Технология Address Space Layout Randomization (ASLR) была впервые реализована в Windows Vista и представляет собой, по сути, способ борьбы с печально знаменитыми уязвимостями типа переполнения буфера путем произвольного изменения расположения кода и данных в памяти. В Windows 8 степень рандомизации повышена для борьбы с известными технологиями, позволяющими обойти ASLR. В числе других нововведений – усовершенствование ядра Windows и другие улучшения, включая новую проверку целостности и рандомизацию по принципу, схожему с ASLR. Изменения внесены и в Internet Explorer 10: помимо изолированной среды «Расширенный защищенный режим» (Enhanced Protected Mode), появилась новая функция «ForceASLR», которая рандомизирует все модули, загруженные в память браузером, даже если в этих модулях не используется ASLR (разработчики могут создавать модули, использующие ASLR, включая в них опциональный флаг /DYNAMICBASE).
Технологии безопасности в Windows 8 Pro
Перечисленные ниже функции будут доступны только в коммерческих версиях Windows 8 Pro и Enterprise.
BitLocker и BitLocker To Go
BitLocker – это средство полнодискового шифрования, которое впервые появилось в Windows Vista и было распространено на портативные накопители в виде функции BitLocker To Go в Windows 7. В Windows 8 изменения по сравнению с предыдущей версией незначительные, но появилась возможность сохранения резервной копии ключа шифрования BitLocker To Go в облачное хранилище SkyDrive.
Шифрованная файловая система
Шифрованная файловая система (Encrypting File System, EFS) – оригинальное решение Microsoft, предназначенное для шифрования отдельных дисков, папок или файлов. Она впервые появилась почти двадцать лет назад в семействе продуктов Windows NT, но сегодня отошла на второй план из-за BitLocker, BitLocker To Go и других бесплатных шифровальных альтернатив.
Подключение к домену и объекты групповой политики
Как обычно, эти две функции являются одним из главных отличий бизнес-версии Windows от потребительской. Возможность подключения к домену Active Directory жизненно необходима в централизованно управляемой среде. Администраторы могут создавать и применять к членам домена объекты групповой политики, контролируя таким образом различные аспекты их деятельности, включая защиту. В Windows 8 появился ряд новых политик:
Рисунок C. Нажмите на изображении для увеличения.
Функции безопасности в Windows 8 Enterprise
Наконец, организации, заключившие с Microsoft соглашение уровня Software Assurance получат доступ к версии Windows 8 Enterprise, которая включает следующие технологии безопасности:
AppLocker
AppLocker – решение Microsoft для управления приложениями. Оно впервые появилось в Windows 7 и позволяет работать с черными или белыми списками приложений. При помощи AppLocker администратор может создавать политики, запрещающие или разрешающие пользователям установку или запуск определенных приложений. В Windows 8 появилась возможность управлять таким образом и традиционными настольными программами, и новыми Metro-приложениями.
DirectAccess
Microsoft предлагает DirectAccess в качестве альтернативы VPN для безопасного подключения компьютеров к корпоративным сетям. DirectAccess не требует использования дополнительных приложений для подключения и помогает организациям обеспечивать соответствие удаленных или мобильных компьютеров принятым требованиям за счет прозрачного применения политик и установки обновлений. По сравнению с предыдущей версией решения, реализованной в Windows 7, особых изменений в Windows 8 не произошло.
Windows To Go
Сотрудники все чаще используют на работе свои собственные устройства, и в этих условиях Microsoft предлагает новое решение Windows To Go – полностью управляемый корпоративный образ Windows 8, который можно установить на внешний USB-накопитель и запускать на любом 64-разрядном компьютере, вне зависимости от подключения к сети. Полный корпоративный образ системы может включать все необходимые функции управления, в том числе политики автоматического обновления Windows, корпоративные антивирусные решения и BitLocker. Пока Windows To Go работает только на USB-накопителях объемом не меньше 32 Гбайт и только с 64-разрядными компьютерами. Несмотря на ограничения, это решение может очень пригодиться во многих сценариях, в том числе в организациях, озабоченных безопасностью пользовательских устройств, а также для восстановления в случае катастрофы.