Кто бы что ни говорил, а Windows 8 – это все-таки не просто новый интерфейс, прикрученный к Windows 7. В Windows 8 реализована масса нововведений в области безопасности, включая встроенный антивирус, систему репутации программ и защиту от руткитов при загрузке.
«Под капотом» скрывается и множество других фундаментальных усовершенствований. Microsoft не обо всем рассказывает, но Windows 8, например, использует более безопасный подход к управлению памяти и усложняет эксплуатацию уязвимостей.
Встроенный антивирус
В Windows 8 наконец-то появился встроенный антивирус. Называется он «Защитник Windows» (Windows Defender), но интерфейс знаком всякому, кто пользовался Microsoft Security Essentials – по сути, это то же самое под новым названием. Ничто не мешает установить и любой сторонний антивирус – тогда Защитник просто автоматически отключится. Но и сам он отнюдь не плох, а самое главное – теперь у всех пользователей Windows наконец есть антивирусная защита «из коробки».
Ранний запуск защитного ПО
В Windows 8 антивирусы могут запускаться на ранних стадиях загрузки системы для проверки драйверов на заражение. Это помогает защититься от руткитов, которые запускаются раньше антивирусов и потом прячутся от них. Защитник Windows стартует на ранних стадиях загрузки по умолчанию, но и сторонние производители тоже могут добавить в свои антивирусы функцию раннего запуска (ELAM).
Фильтр SmartScreen
Фильтр SmartScreen, который раньше применялся только в Internet Explorer, теперь действует на уровне всей операционной системы. Он проверяет любые EXE-файлы, скачанные через Internet Explorer, Mozilla Firefox, Google Chrome и другие приложения. При запуске скачанного EXE-файла Windows сканирует содержимое и отправляет его подпись на серверы Microsoft. Если это известное безопасное приложение типа iTunes, Photoshop и других популярных программ, Windows разрешает запуск. Если программа имеет сомнительную репутацию или содержит вредоносный код, запуск блокируется. А если приложение системе не знакомо, она предупреждает об этом, но дает возможность обойти предупреждение и все-таки запустить программу.
Такая функциональность поможет неопытным пользователям избежать запуска вредоносных программ, скачанных из Интернета. Фильтр SmartScreen даже самые свежие зловреды опознает как неизвестные и советует пользователю запускать их с осторожностью.
Безопасная загрузка
На новых компьютерах с Windows 8, снабженных интерфейсом UEFI вместо классического BIOS, технология безопасной загрузки (Secure Boot) разрешает запуск только проверенных операционных систем со специальной подписью. На старые компьютеры вредоносное программное обеспечение может протащить собственный загрузчик, который будет стартовать раньше загрузчика Windows и запускать руткит (или буткит) еще до запуска операционной системы. Это позволяет руткиту спрятаться от Windows и антивирусов, чтобы выполнять свою черную работу незаметно.
На новых компьютерах с процессорной архитектурой Intel x86 есть возможность добавить в UEFI собственные подписи, чтобы разрешить запускать, например, только проверенные загрузчики Linux.
Улучшенное управление памятью
Разработчики Microsoft значительно усовершенствовали управление памятью в Windows 8. Эти усовершенствования значительно усложняют использование прорех в безопасности или делают его вовсе невозможным. Некоторые эксплойты, успешно работавшие в предыдущих версиях Windows, в Windows 8 работать не могут.
Microsoft рассказывает не обо всех улучшениях, но кое-что все-таки известно:
• ASLR (Address Space Layout Randomization) теперь применяется в Windows еще шире. Эта технология случайным образом перемещает данные и программный код в памяти, чтобы усложнить их использование в опасных целях.
• Послабления, в прошлом доступные только для приложений Windows, теперь применяются и на уровне ядра операционной системы.
• Область, из которой выделяется память для приложений, теперь проходит дополнительную проверку для защиты от эксплойтов.
• Усовершенствования в Internet Explorer 10 усложняют использование 75% уязвимостей безопасности, обнаруженных за последние два года.
Изоляция новых приложений
Приложения для так называемого «современного» интерфейса Windows 8 (в прошлом Metro) запускаются в изолированной среде и обладают лишь ограниченным доступом к системе.
Настольные приложения для Windows имеют полный доступ к системе. Какая-нибудь игра может, например, ставить драйверы, читать любые файлы на жестком диске – и устанавливать вредоносные программы. Даже если разрешения для приложения ограничены контролем учетных записей, в процессе установки оно, как правило, запрашивает права администратора и может делать все что угодно.
«Современные» приложения Windows 8 больше похожи на веб-страницы и мобильные приложения. Они устанавливаются из Магазина (Windows Store) и имеют ограниченный доступ к системе. Они не способны запускаться в фоновом режиме и следить за клавишными нажатиями, записывая номера кредитных карт и пароли к онлайн-банкам, как это могут традиционные настольные программы. У них нет доступа ко всем файлам на жестком диске.
То, что приложения распространяются только через Магазин, может показаться спорным решением, но зато пользователи не могут скачать откуда-нибудь опасное «современное» приложение в обход этой системы. Установка возможна только из Магазина, а там Microsoft проверяет приложения и может удалять вредоносные из каталога.
Windows 8 по всем параметрам намного безопаснее Windows 7. Встроенный антивирус и система репутации программ, наряду с упорядоченной экосистемой приложений, которая пришла на смену беспределу, творившемуся в предыдущих версиях Windows, особенно пригодятся неопытным пользователям, которые не имели антивируса и не знали, какие программы можно ставить, а какие нельзя. Ну а фундаментальные усовершенствования в управлении памятью играют на руку всем, даже опытным пользователям Windows.