С точки зрения безопасности очень печально, что отзывы на Windows 8 так плохи, потому что это одна из самых защищенных операционных систем на планете. Такое заявление кажется преувеличением – пока не задумаешься о том, сколько нововведений в ней было реализовано. Ниже – подробности. (И учтите – я постоянный сотрудник Microsoft.)
Технология Secure Boot
Встроенная в Windows 8 технология Secure Boot опирается на стандартную спецификацию UEFI (Unified Extensible Firmware Interface – унифицированный расширяемый интерфейс прошивки) и призвана сделать Windows исключительно устойчивой к злонамеренным модификациям кода в процессе загрузки системы для предотвращения вирусного заражения прошивки. Угроза такого заражения в последнее время все возрастает, если верить статистике Национального института стандартов и технологий, военных и многочисленных директоров по компьютерной безопасности в компаниях из списка Fortune 100.
До появления UEFI с технологией Secure Boot система уведомляла о вредоносных модификациях прошивки и загрузчика Windows только при использовании шифрования диска BitLocker с настроенными регистрами конфигурации платформы (Platform Configuration Registers, PCR) по умолчанию. Однако многие полагали, что включать полное шифрование диска для защиты системы при загрузке – это чересчур.
UEFI с технологией Windows Secure Boot разрешает запускать при загрузке прошивки и операционной системы только код с проверенными цифровыми подписями. Если неподписанный код (например руткит) пытается модифицировать процесс загрузки, прошивка на основе UEFI отменяет изменения, равно как и сама операционная система. Получив добро от прошивки, ОС продолжает следить за тем, чтобы запускался только разрешенный, подписанный код.
Хотя другие операционные системы могут использовать безопасную загрузку с помощью UEFI, только в Windows 8 и Windows Server 2012 она включена по умолчанию. Помимо Google Chrome OS, лишь в некоторых популярных ОС планируется реализовать защиту на основе UEFI или ведутся дискуссии о том, как и когда это сделать.
Ранняя загрузка антивируса
Защита процесса загрузки в Windows 8 подкрепляется тем, что разрешенное антивирусное ПО запускается как можно раньше, прежде чем вирусы смогут взять систему под контроль. Раньше у вредоносного кода была возможность опередить антивирусы и средства защиты ОС, полностью взяв компьютер под свой контроль. Теперь проверенный антивирус запускается заранее, что значительно повышает шансы на обнаружение и удаление вредоносного ПО.
Фильтр SmartScreen
Технология SmartScreen в Windows 8 сделала Internet Explorer одним из самых безопасных браузеров современности. Она каждый день защищает от заражения миллионы пользователей IE. Для этого она использует систему оценки репутации приложений и веб-сайтов в сочетании с методами обнаружения подозрительного поведения.
Фильтр SmartScreen впервые появился в IE8, а затем был значительно усовершенствован в IE9 и IE10. Однако эта защита не охватывала весь пользовательский опыт. Например, что если человек пользуется другим браузером или скачивает файлы вообще не через браузер? Создателей Windows 8 это тоже волновало, поэтому SmartScreen решили распространить на всю систему. В Windows 8 и Windows Server 2012 защита SmartScreen распространяется на все сетевые загрузки.
Динамический контроль доступа
По сути, динамический контроль доступа (Dynamic Access Control) – это усовершенствованный механизм управления правами на доступ к файлам и папкам в Windows. Старая модель позволяла ограничивать доступ только отдельным пользователям или группам. В Windows 8 и Windows Server 2012 разрешать или запрещать доступ можно на основе практически любого заданного критерия или атрибута.
В качестве критериев можно использовать практически любые сохраненные в Active Directory (AD) параметры, принадлежащие определенному принципалу (пользователю или группе), включая ID устройства, способ входа в систему, местонахождение и личные данные. Можно, например, разрешить доступ к определенной папке только локальным пользователям планшета Surface. Или можно разрешить доступ с проверенного, выданного компанией экземпляра iPad, но не с личного, непроверенного планшета пользователя. У меня масса клиентов, которые как раз нуждаются в такой возможности и при этом не готовы покупать стороннее программное обеспечение. Windows всегда предлагала функциональные, надежные методы управления доступом. Динамический контроль доступа делает их еще функциональнее и надежнее.
Функции PC Refresh и PC Reset
Сколько защитных технологий ни используй, а все равно порой не удается помешать конечным пользователям обойти все кордоны и установить таки вредоносную программу. Рано или поздно это неизбежно случается. Теперь Windows можно вернуть к исходному, известному, чистому и безопасному состоянию. Можно сбросить абсолютно все по нулям, а можно сохранить установленные приложения и данные. Такое было возможно и в предыдущих версиях, но это отнимало гораздо больше времени, чем просто нажать на кнопочку и подтвердить операцию.
Технологии безопасности обычно плохо продаются. Продаются функции и красивые интерфейсы. Многие конкуренты Windows процветают, несмотря на то, что постоянно отстают во внедрении технологий безопасности, которые Microsoft реализует в числе первых, включая встроенное полное шифрование диска, ASLR, DEP и многие другие. Но Windows 8 делает большой шаг вперед благодаря дополнительным функциям безопасности, которые доступны в стандартном комплекте и включены по умолчанию. Я не сомневаюсь, что эти усовершенствования убедят миллионы озабоченных безопасностью пользователей купить Windows 8, невзирая на нынешние препирательства по поводу графического интерфейса, ведь как уже было сказано мною выше безопасность Windows 8 значительно улучшена, по сравнению с Windows 7.
