Cikkek

A Windows Vista biztonsági újdonságai

kategória: Biztonság — forrás: Kristóf Csaba — dátum: 2007-06-13 — értékelés: 4.38Nyomtató

A Windows Vista 2007 január 30-ai megjelenésével nagy előrelépést tett a Microsoft az eddigieknél jóval biztonságosabb operációs rendszerek felé. A legújabb Windows ugyanis a biztonság terén rengeteg újdonsággal szolgál.

Tartalom

A Microsoft a munkaállomásokhoz tervezett operációs rendszerei esetében legutóbb a Windows XP Service Pack 2 kifejlesztésével tett egy viszonylag nagy lépést a biztonság fokozása érdekében. Azóta azonban a kártékony programok írói, illetve az informatikai rendszerek támadói sem pihentek, így mostanra már megérett a Windows biztonsági szempontból való megújulása.

A Microsoft mindent elkövetett azért, hogy különböző szembetűnő, és még több láthatatlanul a háttérben futó biztonsági megoldás révén növelje a felhasználók számítógépeinek, és az azokon tárolt adatok biztonságát. E cikkünkben összefoglaljuk az új operációs rendszer biztonsági újdonságait, és bemutatjuk, hogy a csillogó-villogó felhasználói felület mögött milyen technológiák figyelik a rendszert és az adatokat veszélyeztető kártékony műveleteket, illetve, hogy ezek milyen módszerek révén előzik meg a károkat.

A Windows Vista legfontosabb biztonsági újdonságai:


User Account Control (UAC)

 Napjainkban a legtöbb windowsos felhasználói fiókhoz rendszergazdai jogosultságok tartoznak, ami komoly kockázatokat rejt. Azonban sok esetben szükség van a magas jogosultsági szint beállítására, ugyanis a szoftverek telepítéséhez, futtatásához vagy eltávolításához gyakran alapkövetelmény a rendszergazdai jog megléte. Ennek megadásával azonban a kártékony programok vagy a számítógépek feletti irányítást megszerző támadók is szabadon hajthatják végre a műveleteiket.

A Microsoft a Vista fejlesztésekor nagy hangsúlyt fektetett arra, hogy mindig csakis a legszükségesebb jogosultságok álljanak rendelkezésre. Ezért alakította ki az UAC (User Account Control) vagy magyar nevén felhasználói fiókfelügyelet megoldását, amely megpróbál összhangot teremteni a felhasználó és a rendszergazdai fiókok között. A Vista esetében hiába tartozik egy felhasználó a rendszergazdai csoportba, a bejelentkezéskor akkor is csak a "hagyományos" felhasználói jogokat kapja meg. Amennyiben olyan műveletet szeretne végezni, amely rendszergazdai jogokhoz kötődik, akkor az operációs rendszer egy dialógus ablakot jelenít meg, amelyben felhívja a figyelmet arra, hogy magasabb szintű jogosultságokra van szükség. A rendszergazdává válás új formája azonban csak az aktuális feladatra vonatkozik, így egy újabb művelet újra az UAC dialógus ablak megjelenítését eredményezheti. Emiatt egyébként elég sok kritika éri a Vistát, ugyanis egy idő után az UAC zavaróvá válhat.


Az UAC további fontos jellemzője, hogy a Vista a regisztrációs adatbázist és a fájlrendszer egyes területit virtualizálja. Ezzel megakadályozható a ténylegesen használt erőforrások károsodása, ugyanakkor az új megoldásból eredő kompatibilitási problémák is kiküszöbölhetővé váltak. A Vista a virtualizációs információkat a Users/[felhasználónév]/AppData/Local/VirtualStore könyvtárában tárolja.


MIC (Mandatory Integrity Control)

 A Windows Vista végleges verziójába is belekerült az MIC technológia, amely tulajdonképpen egy olyan infrastruktúrát valósít meg, amelyben a felhasználók valamint a különböző védendő objektumok egy-egy integritási szinthez kerülnek hozzárendelésre. Ezzel egy újabb biztonsági szint vált megvalósíthatóvá, hiszen a rendszer minden egyes objektum használata előtt ezen integritási szinteket vizsgálja meg. A felhasználókhoz, illetve az objektumokhoz tartozó szintazonosítók egy SACL (System Access Control List) listában kerülnek tárolásra. Ez a védelem magasabb szintjét képviseli, mint a fájlrendszereknél alkalmazott ACL listák, ugyanis a Vista egy-egy művelet előtt először az SACL-hez tartozó biztonsági információkat ellenőrzi, és ha itt megfelelő jogosultságokat talál, akkor vizsgálja az ACL listát.

Az MIC négy szintet definiál: alacsony, közepes, magas és rendszer. A rendszerszolgáltatások alapértelmezetten a rendszer szinthez kerülnek hozzárendelésre, míg az alkalmazások többsége a közepes integritási szintre kerül. Ezek alól kivételt képez az Internet Explorer 7, amely védett módban fut, és alapesetben a legalacsonyabb biztonsági szinten található. Mivel a böngészőből elinduló programok „öröklik” ezt az alacsony szintet, ezért azok meglehetősen kevés írási, valamint módosítási jogosultságot kapnak, így kisebb az esélye egy esetleges fertőzésnek vagy károkozásnak.


ASLR (Address Space Layout Randomization)

 A Vista az úgynevezett ASLR technológia révén próbálja megakadályozni, hogy a kártékony programok különböző rendszerfüggvényekhez férjenek hozzá. Maga a technika nem számít forradalmi újdonságnak, hiszen egyes Linux illetve Unix (OpenBSD) rendszerek esetében már régóta használatos. Az ASLR a Vista második béta verziójától érhető el. A tesztek során jól szerepelt, így a végleges kiadásba is bekerült. A lényege, hogy segítse a „return-to-libc” támadások kivédését, melyek során a kártékony kódok rendszerfüggvények meghívásával igyekeznek elérni céljukat. Az ASLR Vistába került jelenlegi változata a rendszerfüggvények belépési pontjait 256 különféle helyre tudja betölteni. Arra is van lehetőség, hogy saját fejlesztésű exe fájlokat védjen az ASLR, amit a PE fejlécmutató (Portable Executable Header) beállításával lehet kezdeményezni.


DEP (Data Execution Prevention)

 A DEP (Data Execution Prevention) célja, hogy megakadályozza a kártékony programok által kezdeményezett jogosulatlan kódfuttatásokat, amik általában különböző puffertúlcsordulási hibákra vezethetők vissza. A DEP megjelöli a memória azon területeit, amelyek adatszegmenshez tartoznak, és ezeken a területeken nem enged kódokat futtatni. A technika már a Windows XP SP2 esetében megjelent, de a Vistában alapértelmezetten fut, és szabadabban konfigurálható.

A DEP lehet hardveres, illetve szoftveres. A napjainkban kapható Intel és AMD processzorok nagy része már támogatja az NX (No eXecute) bitek használatát. (Az összes 64 bites Intel, illetve AMD processzor ilyen formán DEP kompatibilis.) A Vista - hasonlóan a Windows XP SP2-höz valamint a Windows Server 2003-hoz - felismeri a processzorokban rejlő lehetőségeket, és automatikusan állítja be a védelmi megoldást.


PatchGuard

 Az elmúlt évben a Microsoft és néhány biztonsági cég között komoly vita alakult ki a PatchGuard technológia kapcsán. Ez a biztonsági megoldás ugyanis arra hivatott, hogy megakadályozza a kernel patchelését, azaz a rendszermag külső módosítását. Több biztonsági szoftver azonban eddig élt ennek lehetőségével, hiszen így a legalacsonyabb szinten tudták figyelni a kártékony programok működését, majd tudtak beavatkozni. A kernel patch-eléssel az volt a gond, hogy a rejtőzködő, rootkit megoldásokat alkalmazó kártékony programok is előszeretettel használták ki a technika lehetőségeit, ezért a Microsoft úgy határozott, hogy végett vett ezeknek a próbálkozásoknak. A PatchGuard ugyan nem teszi lehetővé a kernel külső módosítását, de azért a Vista továbbra is kínál olyan lehetőségeket a biztonsági szoftverek számára, amelyekkel figyelhető a hálózati adatforgalom, a fájlrendszer illetve a regisztrációs adatbázis módosulása.


Windows Service Hardening

 A Windows Service Hardening biztonsági megoldás célja, hogy megszüntesse azokat a rendellenes műveleteket, amelyeket eddig az egyes szolgáltatások hajthattak végre az indokolatlanul magas jogosultsági szintjük miatt. A Vista esetében a szolgáltatások is kapnak egy-egy azonosítót, SID-et. Ezek révén könnyebben azonosíthatók.

A szolgáltatások a Vista operációs rendszer megjelenéséig Local System felhasználó alatt futottak, ami teljes jogosultsággal rendelkezett. Így a szolgáltatások tulajdonképpen bármit megtehettek, és ha ezek felett egy kártékony program átvette az irányítást, akkor az is megszerzett minden jogosultságot. Ezt használta ki többek között a Blaster féreg is, amikor az RPC (Remote Procedure Call) szolgáltatást támadta. A Vista esetében a szolgáltatások a korlátozottabb jogosultságokkal rendelkező Local Service vagy Network Service felhasználók alatt futnak.


NAP (Network Access Protection)

 A Windows Vista egy beépített ügynökszoftvert tartalmaz az NAP támogatásához. Az eddigi hírek szerint ez a technika igazán majd a Windows Server Longhorn szerver operációs rendszer megjelenésekor jut fontos szerephez. A lényege, hogy csak azokat a számítógépeket engedi kapcsolódni a hálózathoz, amelyek rendelkeznek a legújabb vírusadatbázisokkal, valamint tartalmazzák az összes szükséges biztonsági frissítést. Amennyiben e feltételek nem adottak, akkor a kliensek csak a biztonsági frissítéseket tudják letölteni, és ezek telepítése után tudnak csak bejelentkezni a hálózatba.


BitLocker

 A Windows Vista Enterprise és Ultimate verziója támogatja a BitLocker technológiát, amelyet elsősorban a hordozható számítógépek tulajdonosai fognak előszeretettel használni. Ennek oka, hogy a technológia segítségével hatékonyan titkosíthatók a merevlemezen (rendszerköteten) tárolt adatok, így azok a notebookok elvesztésekor, illetve rossz kezekbe kerülésekor nem fejthetők vissza. A BitLocker igazán akkor hatékony, ha a számítógépünk támogatja a TPM-et, azaz tartalmaz egy TPM chipet, amely tárolja a titkosításhoz szükséges legfontosabb adatokat. A BitLocker arra is ügyel, hogy két rendszerbetöltés között ne módosuljanak a fájlok, ugyanis ebben az esetben feltételezhető, hogy valaki a rendszer módosításával akarja kiiktatni a védelmi megoldást.


Ugyan a BitLocker a TPM 1.2 rendelkezésre állásakor nyújtja a legnagyobb biztonságot, de TPM támogatás hiányában lehetőség van „helyettesítő” USB-s memóriák alkalmazására is.


Adatmentés

 A Windows Vista az adat- illetve rendszermentés területén is sokat fejlődött. A legérdekesebb újdonsága, hogy – hasonlóan, mint a Norton Ghost - képes egyetlen image fájlba lementeni a rendszert, amelyből később visszaállítható a Windows, és a hozzá tartozó összes beállítás valamint fájl. A teljes rendszer mentésére szolgáló funkció egy .vhd kiterjesztésű állományt hoz létre, amely akár a Virutal PC szoftverrel virtuálisan létrehozott operációs rendszerekhez is "csatlakoztatható", majd szerkeszthetők az abban elmentett fájlok. Mivel ez a megoldás a teljes rendszer mentését, majd a teljes rendszer törlésével járó visszaállítást teszi lehetővé, ezért a Vista továbbra is támogatja a fájlrendszer, illetve a rendszerbeállítások szelektív mentését is.



Továbbfejlesztett tűzfal

 A Windows beépített tűzfala elsőször a Windows XP SP2 esetében mutatkozott be. A Microsoft az elmúlt években ezt fejlesztette tovább annak érdekében, hogy a Vista tűzfala a bejövő adatforgalom mellett a kimenő adatforgalmat is képes legyen vizsgálni. Ezzel elérhetővé vált, hogy a rendszergazdák akár csoportházirendeken keresztül is menedzselni tudják a felhasználók programhasználatát. Például könnyedén tilthatják a fájlcserélő szoftverek futtatását. A Microsoft a Felügyeleti eszközökhöz egy olyan alkalmazást is hozzáadott, amelynek segítségével pontosan és részletesen meghatározható a tűzfal működése.



Az Internet Explorer újdonságai

 A Windows Vista az Internet Explorer 7 webböngészőt tartalmazza, amely szintén számos biztonsági újdonsággal gyarapodott. Ezek közül a legfontosabb, hogy - amint azt már korábban említettük - hatékonyan együttműködik az UAC, illetve az MIC technológiákkal, így a böngészőn keresztül letöltődő kártékony programok nem tudják módosítani a fájlokat, illetve a beállításokat. 


Az Internet Explorer 7 másik fontos újdonsága az adathalászat elleni védelem, amely azon weboldalak kiszűrését segíti, amelyek megtévesztő módon próbálnak bizalmas adatokat megszerezni. Egyre gyakrabban bukkannak fel olyan oldalak, amelyek meghamisított banki vagy elektronikus kereskedelmi weboldalak meghamisításával próbálják megtéveszteni a felhasználókat. Az új böngésző ezeket igyekszik kiszűrni, de meg kell említeni, hogy az adathalászat folyamatosan változó trükkjei miatt nem számít csodaszernek. Ezért az óvatos, körültekintő böngészés továbbra is elsődleges fontosságú.


Windows Mail

 A széles körben alkalmazott Outlook Express a Vistában már Windows Mail néven kapott helyet. Legfontosabb biztonsági újdonsága, hogy egy beépített spamszűrővel rendelkezik, amely segíti az egyre nagyobb mennyiségben érkező kéretlen levelek kiszűrését.


Windows Defender

 A Windows Vistába a fejlesztők beépítették a Windows Defender kémprogram védelmi alkalmazást. Ennek segítségével lehet védekezni a számítógépeket lassító, bizalmas adatokat kiszivárogtató, reklámablakokat feldobáló kém- illetve reklámprogramok ellen. A Windows Defender valósidejű védelmet biztosít, és a kialakításának köszönhetően egy-egy fertőzés esetén is csak minimális felhasználói beavatkozást követel meg a kártevők eltávolításához. Itt kell megjegyeznünk, hogy a Windows Vista nem tartalmaz víruskereső alkalmazást, tehát azt továbbra is külön kell telepíteni a számítógépekre.


Mint látható a Windows rengeteg háttérben láthatatlanul működő új biztonsági funkcióval gyarapodott, amelyeket kiegészítenek az új kémprogram-védelmi, tűzfal, adathalász-ellenes, és spamvédelmi technológiák. Az új operációs rendszer biztonsági szempontból tehát valóban jelentős változásokon ment át, ami minden bizonnyal jótékony hatással lesz számítógépeink biztonságára. Viszont nem szabad megfeledkezni arról sem, hogy továbbra is szükség lesz kiegészítő biztonsági alkalmazások, főleg víruskeresők használatára, és a körültekintő internetezésre. Ezt támasztja alá a Kaspersky Labs jóslata is, miszerint a jelenlegi kártékony programok 90 százaléka működőképes lesz a Vista operációs rendszer alatt is. Hasonló kijelentést már a Webroot szakemberei is tettek, ugyanis a tesztjeik során kiderült, hogy a Vistához tartozó Windows Defender a kémprogramok 84 százalékát nem tudta kiszűrni, és teljes mértékben eltávolítani. Tehát a Vista esetében is célszerű óvatosnak lenni, de azért az új technológiák ügyes használatával sok kellemetlenséget és kárt lehet megelőzni.

A cikk publikálásáért köszönet a Biztonságportál -nak!