Windows 7: Novinky z pohledu bezpečnosti

  • Article

Na následujících řádcích si popíšeme novinky v připravovaných Windows 7, a to zaměřeno na novinky v oblasti bezpečnosti. Předesílám, že všechny novinky jsou z pohledu sestavení 7000, tedy Windows 7 Beta, která je v době psaní článku jediným oficiálním veřejným sestavením.

Novinek je v případě Windows 7 více, něktreré čistě dílčí, některé zcela nové. O většině z nich jsme již psali v separátních článcích, ale pojďme si je shrnout ještě jednou “na hromadu”.

Action Center

Byť se to tak nemusí na první pohled zdát, Action Center ve Windows 7 je novinkou i z pohledu bezpečnosti. Historicky se jedná o náhradu za tzv. Security Center, které nás provázelo ve Windows XP SP2 či Windows Vista. V jednom okně jsou k dispozici informace, jestli Vaše nastavení odpovídá standardům. Toto je z pohledu uživatele velice důležité a ve výsledku přispívá k větší obezřetnosti. Action Center mimo jiné monitoruje stavy:¨

  • Windows Update
  • Nastavení internetové bezpečnosti
  • Síťový firewall
  • Ochrana proti Spyware
  • Řízení uživatelských účtů
  • Antivirová ochrana
  • Network Access Protection

Z tohoto výčtu je vidět, že oproti Centru Zabezpečení jak jej známe z předešlých verzí Windows se rozšířil počet oblastí, které nově Action Center sleduje. Pokud je něco v nepořádku, uživatel dostává zprávu z oznamovací oblasti s možnostíé chybu okamžitě napravit.

clip_image002

Popřípadě otevřít Action Center a nesprávné nastavení opravit odsud.

clip_image004

Řízení uživatelských účtů (UAC)

Jedna z nejvíce diskutovaných funkcí Windows Vista – Řízení uživatelských účtů doznala výrazných změn ve flexibilitě. Co UAC vlastně dělá? Tuto funkci přinesly, jak již bylo zmíněno, Windows Vista a v důsledku zajišťuje, že ani uživatel s přiřazenými právy administrátora nepracuje s nativně povýšenými právy nýbrž stále s právy standardního uživatele. Až v momentě, kdy práce uživatele vyžaduje změnu z pohledu operačního systému (instalace/odinstalace software, změna nastavení sítě, start systémových komponent atd.) se objeví dialogové okno s možnosti pro konkrétní aplikaci/okno povýšit práva na úroveň administrátora. Tím se Microsoft snaží omezit využívání nejvyšších oprávnění na nezbytnou činnost. Ruku v ruce s tím je zapnuta virtualizace registrů a systémových složek. To zajišťuje, aby programy nepracovaly a neukládaly např. dočasné soubory do C:\Program Files, ale tam kam patří – do profilu uživatele.

Windows 7 přináší hlavně více flexibility v nastavení, protože nyní dávají na výběr, jak se funkce řízení uživatelských účtů bude chovat. Pro správné pochopení - Windows 7 odlišují práci uživatele vůči systémovým komponentám OS a vůči software. Na výběr je ze čtyř možností:

  • Vždy upozornit
  • Upozornit jen když se program snaží zasáhnout do OS
  • Upozornit jen při konfiguraci operačního systému
  • Nikdy neupozorňovat

clip_image006

Ve výchozím nastavení je pro členy skupiny uživatelů UAC nastaveno na „vždy upozornit“ a pro administrátory „Upozornit jen když se program snaží zasáhnout do OS“. Díky této možnosti jednoduchého výběru klesly požadavky na interakci uživatele o subjektivních 60-80%. Když se objeví hláška o povýšení práv, už se nad ní opravdu pozastavíte.

BitLocker To Go

Mnoho společností dnes řeší bezpečnost dat a hlavně, jak zabezpečit přenosná zařízení, která jsou rizikovou skupinou, neb se ze své podstaty často vyskytují mimo bezpečné prostory společnosti. Microsoft uvedl ve Windows Vista nástroj pro šifrování interních disků – Bitlocker. Ale to byl jen první krok. Je jasné, že stejně jako např. notebooky jsou velmi rizikovými zařízeními tzv. flash disky. Zde je ovšem problém nejen ve faktu, že jsou přenositelné, ale že jejich cena klesla na takové minimum, kdy se z nich stalo klasické spotřební zboží. Uživatel pak nedbá patřičné pozornosti, aby „flešku“ neztratil. Bohužel. Společnost Microsoft se proto rozhodla do nadcházejícího operačního systému Windows 7 přidat funkci Bitlocker To Go, která je přímo určena pro přenosné disky. Správci sítí tak dostávají nástroj, který jim nabídne například pohodlnou centrální správu, jednoduché a intuitivní ovládání, ale hlavně dobrý pocit, že další rizikové místo je zabezpečeno. Bitlocker To Go je zatím součástí edic Windows 7 Ultimate a Enterprise. Vše se ale může ještě změnit, přeci jen jsme ve stádiu Beta.

A jak na to?

Připojíte flash disk a přejdete v Ovládacích panelech do správy funkce Bitlocker, kde už uvidíte inicializované disky připravené pro zapnutí funkce Bitlocker nebo Bitlocker To Go.

clip_image008

Po klepnutí na „Turn On Bitlocker“ v sekci BitLocker Drive Encryption – Bitlocker To Go se spustí průvodce, který s vámi projde zašifrování Vašeho přenosného disku. Po inicializaci disku se Vás průvodce dotazuje na způsob ověřování vůči zašifrovanému disku. Na výběr máte z možností „ověřování heslem“ nebo „ověřování smart kartou“. Následující dialog už je jen způsob uchování klíče pro obnovení. Na výběr je tištěná podoba, nebo uložení jako soubor .txt (nebo obojí :)). Následuje souhrn všech zvolených možností a vlastní zahájení enkrypce zvoleného přenosného disku.

clip_image010

Doba trvání celé procesu je závislá na zaplnění media respektive volném místě. Pokud jsou na výměném médiu vadné sektory, je samotný proces kryptování pozastaven a je nutno disk zpět dekryptovat. Se samotným šifrováním je pak na šifrovaný disk nahrána aplikace BitLocker To Go Reader, který slouží k práci se soubory na systémech Windows XP a Windows Vista. Práce se šifrovaným diskem přímo přes Windows Explorer je zatím možná jen ve Windows 7 Beta. Zde ovšem zdůrazňuji zatím. Správci sítí dále ocení cetrální správu přes Group Policy, spolupráci AD DS nebo s firemní certifikační autoritou.

Možnosti konfigurace přes Group Policy:

  1. Kontrolované použití BitLockeru na výměných jednotkách
    1. Povolit uživatelům zapnout BitLocker na výměnná média
    2. Povolit uživatelům vypnout BitLocker na výměnná média
    3. Vypnout BitLocker To Go
  2. Konfigurace užití smart karet na výměnná media
    1. Vyžadovat užití smart karty
    2. Vypnuto
  3. Odepřít zápis na jednotky nechraněnné BitLockerem To Go
    1. Zapnuto + Odepřít zápis na jednotky konfigurované v jiné organizaci
    2. Vypnuto
  4. Povolit přístup na chráněnná media z předchozích verzí Windows
    1. Zapnuto
    2. Vypnuto
  5. Konfigurace složitosti a minimální délky hesla pro přístup k chráněnému mediu
    1. Zapnuto
    2. Povolena složitost hesla
      1. Vyžadována složitost hesla
      2. Zakázána složitost hesla
      3. Minimální délka hesla (0 – 99 znaků)
    3. Vypnuto
  6. Jak mají být chráněnná media obnovena
    1. Povolit Data Recovery Agent
      1. Povolit 48-místné heslo pro obnovení
      2. Vyžadovat 48-místné heslo pro obnovení
      3. Nepovolit 48-místné heslo pro obnovení
      4. Povolit 256-bitový klíč pro obnovení
      5. Vyžadovat 256-bitový klíč pro obnovení
      6. Nepovolit 256-bitový klíč pro obnovení
    2. Vynechat možnosti pro obnovení získané BitLocker průvodcem
    3. Uložit nastavení obnovy do AD DS pro výměnná media
    4. Konfigurace uložiště AD DS pro uložení informací pro obnovení
      1. Ukládat heslo i klíč pro obnovu
      2. Ukládat pouze heslo pro obnovu
    5. Nezapínat BitLocker dokud nejsou informace pro obnovu výměnných medií uloženy v AD DS

Zde měla původně následovat kapitola o AppLockeru, nicméně o něm psal už KFL v předchozím postu, čili ho z tohoto článku vynechám.

- Jan Pilař (KPCS CZ, WUG Písek)