A varázsgömbön túl - 1. rész: Biztonság Most kezdődő cikksorozatunkat azok figyelmébe ajánljuk, akik a Vista üvegfelületének csillogása mögött kíváncsiak a rendszer azon képességeire és eszközeire is, melyekről - bár az új Windows lényeges részeit képezik - eddig mégsem esett túl sok szó. Elsőként a Vista biztonsági funkcióival, a tűzfallal és a Windows Defender-rel ismerkedünk meg közelebből, majd ejtünk néhány szót a User Account Control-ról, az Internet Explorer 7 védelmi mechanizmusairól, valamint a BitLocker meghajtótitkosításról. Tartalom 1. Windows tűzfal 2. Windows Defender 3. User Account Control 4. Internet Explorer 7 5. BitLocker
Egy korábbi cikkemben azt írtam, nem igazán tudnék olyan nyomós érvet mondani, amiért megérné a jól bevált Windows XP rendszerünket "kidobni" és áttérni a Microsoft legújabb asztali platformjára, a Vista-ra. Az XP ugyan még mindig teljes mértékben kiszolgálja igényeinket, az új Windows mégis tartogat néhány olyan, elsőre talán nem szembetűnő, de annál hasznosabb újítást, melyek jóval könnyebbé és biztonságosabbá teszik a mindennapi számítógéphasználatot. Csak a testemen keresztül - Windows tűzfal A Windows Vista minden eszközzel próbálja megvédeni magát és a felhasználó adatait. A fejlesztők soha nem látott védelmi képességekkel vértezték fel az új rendszert - szüksége is van rá a mai veszélyekkel teli világban. Kezdjük mindjárt az első védelmi vonalnál, a tűzfalnál. Sokan tévesen azt hiszik, hogy a Windows tűzfala mit sem ér, gyenge, könnyen áttörhető, így nem védi megfelelően a rendszert. Rengeteg helyen olvasni: "...a Windows tűzfalát rögtön letiltottam, úgysem ér semmit és feltettem valami normális programot helyette..." Az igazság azonban az, hogy a Windows tűzfal (az XP Service Pack 2 verziójától különösképpen) az egyik legjobb a piacon. Az XP SP2 tűzfala telepítés után alapértelmezésként be van kapcsolva és kellő védelmet nyújt az internet felől érkező portscannelésekkel és különböző féreg-támadásokkal szemben. A számítógépes tűzfal feladata a rendszer hálózati interfészein keresztüli adatforgalom szűrése és a nem használt, illetve letiltott portok zárolása, hogy azon semmilyen kártevő ne tudjon átjutni. A Windows XP tűzfala ennek eleget is tesz, talán csak egyetlen hiányossága van, hogy csak a bejövő forgalmat szűri. A Microsoft fejlesztői szerint a kimenő forgalom szűrése - főként otthoni átlagfelhasználóknak - nem életbevágóan fontos, hiszen erre viszonylag ritkán van szükség, a legtöbb felhasználó pedig amúgy sem tudná eldönteni, mit engedélyezhet és mit nem. A Windows Vista-ban ennek ellenére már kétirányú tűzfal működik - igaz a kifelé szűrés alapértelmezésként inaktív, de aki akarja bekapcsolhatja magának. A leggyakoribb érvelés a Windows tűzfal tökéletlenségének bizonyításakor, hogy nem figyelmezteti elég rendszeresen a felhasználót a potenciális veszélyhelyzetekről. Miért is tenné? A Windows tűzfalban éppen az a nagyszerű, hogy csendben, önállóan végzi a dolgát, és csak a legritkább esetekben kéri a felhasználó beavatkozását: a maguknak figyelő (listening) portot nyitó, szerverként is üzemelni kívánó alkalmazások futtatásakor, ezt is csak az első alkalommal.
Windows Vista tűzfal figyelmeztetés A kereskedelmi forgalomban kapható legtöbb tűzfal első indításakor valóságos figyelmeztetés- vagy kérdés-áradatot zúdít a felhasználó nyakába, aki - felmérések szerint - a legtöbbször egyáltalán nem tudja eldönteni, miről is szól az üzenet és mit kéne rá válaszolnia. Ezért aztán egy - a biztonság látszatát állandó figyelmeztetésekkel fenntartó - kiegészítő tűzfal legtöbbször az alapbeállításokkal futó Windows tűzfal védelmét sem nyújtja. Ehhez jön még, hogy a Windows tűzfal, a legtöbb egyéb termékkel szemben, már bootolás közben is védi a rendszert. Természetesen ha a felhasználó hozzáértő(bb) és megfelelően be tudja konfigurálni a tűzfalat, előfordulhat, hogy nem nyújt elég beállítási lehetőséget az XP beépített tűzfala - és itt érkezünk el a Vista-tűzfalához. A Windows Vista továbbfejlesztett, kétirányú tűzfala ugyanis egy saját Microsoft Management Console-t (MMC) kapott, melynek segítségével a "nagyokhoz" hasonlóan a legapróbb részletekig beállíthatjuk a szabályrendszereket.
A Windows Vista Firewall MMC Láthatjuk, hogy jópár előre definiált szabály van, ezek mellé tetszés szerint felvehetünk portszám, programnév vagy szolgáltatásnév szerint újakat. Az alábbiakban egy egyéni befelé irányuló szabály beállításának lépéseit láthatjuk:
Az alkalmazásokon és szolgáltatásokon kívül egyéb kapcsolódási szabályokat is felállíthatunk a "Connection Security Rules" varázsló használatával, így lehetőségünk nyílik egy-egy kiválasztott gép sajátunkhoz történő kapcsolódását letiltani, vagy éppenséggel kizárásos alapon engedélyezni. A kapcsolatokat különféle feltételekhez is köthetjük, például megszabhatjuk, hogy a csatlakozni kívánó gépnek érvényes digitális tanúsítvánnyal kelljen rendelkeznie, vagy akár egy egyéni jelmondatot is megkövetelhetünk tőle.
A Windows Vista tűzfala három különböző profilban működik, így lehetőségünk van külön szabályrendszer alkalmazására otthoni, tartományi (domain), vagy nyilvános hálózati környezetben is.
Hálózati profilkezelés a tűzfalban A Vista-tűzfal további hasznos tulajdonsága, hogy immáron a rendszer integrált része lett az IPSec szolgáltatás is, így könnyedén állíthatunk be biztonságos kapcsolatot az adatfolyam titkosításának, illetve a hitelesítés módjának testreszabásával. A tűzfal beállításai továbbá teljes részletességel vezérelhetők a csoportházirend segítségével is, így a Windows Server-t használó hálózati rendszergazdák egyetlen központi helyről menedzselhetik a kliensgépek tűzfalait.
Integrált IPSec titkosított adatkapcsolathoz Szolgál és véd - Windows Defender Bár a Microsoft-nak a OneCare személyében immáron saját antivírus megoldása is van, az nem került beépítésre az új Windows-ba, egy hasonló funkciójú szoftver, a Windows Defender azonban igen. A rosszindulatú szoftvereket, spyware-eket blokkoló és a rendszertől távol tartó Windows Defender a Vista integrált szolgáltatása lett, Windows XP-re pedig már elérhető a program bétaváltozata. A Defender-t a Vista-ban alapértelmezésként telepítve és bekapcsolva találjuk. Feladata, hogy az internetről folyamatosan frissített adatbázisával és heurisztikus érzékelőjével elemezze a számítógépen elindított és oda letöltött programfájlokat, és ha azok károsnak bizonyulnak, blokkolja futásukat és figyelmeztesse a felhasználót.
A Windows Defender általában észrevétlenül figyel a háttérben, csak akkor mutatkozik, ha adatbázis-frissítést hajt végre, vagy figyelmeztetést jelenít meg. Az alkalmazás minden káros elem eltávolítása előtt létrehoz egy rendszervisszaállítási pontot, így a véletlenül blokkolt vagy törölt programok visszanyerhetők. A Windows Defender egyaránt monitorozza a fájlrendszert, az internetforgalmat, a rendszerleíró-adatbázist, a Windows-szolgáltatásokat, valamint az Internet Explorer-be és a Windowsba beépülő kiegészítő modulokat is. A Microsoft SpyNet online közösséghez csatlakozva (ingyenes, regisztráció nélküli kapcsolódás, mindössze egy gombnyomás) anonim módon küldhetünk a gépünkön felfedezett kártevőkről vagy gyanús elemekről olyan információkat, melyek segítik a Microsoft programozóit újabb ellenszerek kifejlesztésében.
Windows Defender biztonsági riasztás A Windows tűzfal és a Defender képernyőin is láthattunk kis színes pajzzsal ellátott gombokat, vagy hivatkozásokat. Mit is jelentenek ezek a pajzsok és miért vannak egyes műveletek megkülönböztetve? Joga van kattintani - User Account Control A Windows Vista a korábbiaktól kissé eltérően értelmezi a "rendszergazda" kifejezést. A rendszer telepítésekor - a korábbi verziókhoz hasonlóan - létrejön egy alapértelmezett rendszergazda (Administrator) felhasználói fiók, mely azonban rögtön letiltásra kerül. A telepítő utolsó fázisában létre kell hoznunk egy saját névvel ellátott felhasználót, mely szintén rendszergazdai jogosultságokat kap - legalábbis elsőre úgy tűnik. A Windows korábbi verzióival szerzett tapasztalatok azt mutatják, hogy a legtöbb olyan felhasználó, aki egyedül felügyeli számítógépét, rendszergazda jogosultságú fiókkal használja azt és nem sokat törődik a biztonsági szakemberek figyelmeztetéseivel. Az ideális állapot természetesen az lenne, ha mindenki korlátozott felhasználóként lépne be a Windows-ba, majd rendszerbeállítás módosításakor, vagy program telepítésekor átjelentkezne "rendszergazdába", vagy a "futtatás mint..." opciót használná. Az igazság azonban az, hogy jóval kényelmesebb eleve rendszergazdaként működtetni a rendszert, így szinte sosem ütközünk ellenállásba. Nem így a Vista-ban. Ugyan a kényelem fontos szempont lehet, de az ilyen óvatlan használattal a kívülről érkező kártevők, vírusok, férgek, spyware-ek sem ütköznek túl sok akadályba - amint bejutnak a gépre, rögtön rendszergazda jogosultságot élveznek. A Windows Vista ezt a veszélyt igyekszik kiküszöbölni, méghozzá úgy, hogy még az adminisztrátor felhasználók sem kapnak teljes hozzáférést a rendszerhez, ehelyett egyszerű korlátozott felhasználó jogkörben dolgoznak. Amint olyan műveletre kerül sor, amikor valóban hozzá kell nyúlni bizonyos rendszerbeállításokhoz, vagy olyan védett mappákba kell programot telepíteni, mint a \Windows vagy a \Program Files, a Vista egy úgynevezett eleváló promptot, azaz jogosultság-jóváhagyó kérdést küld a felhasználónak. Ez első olvasatra talán túl bonyolultnak és zavarónak tűnhet, de egy idő után megszokható és valóban
hatékony védelmet nyújt a véletlen vagy rosszindulatú módosítások ellen. Ha "valódi" rendszergazdaként kívánunk futtatni egy programot - tipikusan alkalmazások telepítőjét - a fájlra, vagy parancsikonra kattintsunk az egér jobb oldali gombjával, majd a helyi menüből válasszuk a "Run as administrator" (futtatás rendszergazdaként) parancsot. A User Account Control (UAC) egyes szituációknak megfelelően többfajta ablakot jeleníthet meg. Az alábbi ábrán látható, hogy mely esetben milyen ablakra kell nyugtázó vagy elutasító választ adnunk:
Természetesen a User Account Control is vezérelhető a csoportházirendből. A finombeállítások között adhatjuk meg például azt is, hogy a figyelmeztető kérdés csak egy igen/nem választási lehetőségből, vagy akár név/jelszó páros megadásából álljon, de akár azt is, hogy az UAC a kérdő ablak megjelenítésekor átkapcsoljon-e az úgynevezett "Secure Desktop" módba - mely inaktívvá teszi a Windows asztal többi részét - így kényszerítve rá a felhasználót a válaszadásra. A Group Policy-ből akár ki is kapcsolhatjuk az UAC-t, de ez természetesen nem ajánlott.
Felhasználónévvel és jelszóval történő UAC-hitelesítés A User Account Control egy másik feladata a szoftverkörnyezet virtualizálása az olyan alkalmazások számára, melyek nem többfelhasználós rendszerekre lettek készítve, vagy nem kezelik jól a jogosultságokat. Meglehetősen sok olyan program létezik, mely vagy nem veszi figyelembe, hogy többfelhasználós környezetben működik, vagy egyszerűen nem is hajlandó futni, csak és kizárólag rendszergazdai jogosultságokkal. Az UAC ezért detektálja az alkalmazás fájlrendszerbe és a registry-be való írási kéréseit, és ennek megfelelően - minden felhasználói fiókban egyéni - virtuális környezetet hoz létre a programnak. A rendszergazda jogosultságot megkövetelő programok így tulajdonképpen "azt hiszik", hogy tudnak írni a \Windows, vagy a \Program Files mappákba, esetleg a rendszerleíró-adatbázis kritikus részeibe is, ám valójában egy, a számukra létrehozott virtuális valóságban működnek - immáron gond nélkül. Tiltott halászat helyett biztonságos szörfölés - Internet Explorer 7 A Microsoft meglehetősen sokáig mostohaként bánt internetböngészőjével, melyet sok-sok kritika ért szegényes szolgáltatásai és biztonsági hibái miatt. A fejlesztők úgy tűnik felocsúdtak, a Windows XP Service Pack 2-ben már némi változás volt tapasztalható az Internet Explorer-rel kapcsolatban: lehetővé vált a felugró ablakok blokkolása, valamint módosult az ActiveX vezérlők kezelése is, és megjelent a figyelemfelkeltő biztonsági sáv is. A Windows Vista-ba már a böngésző következő, 7.0-s verziója kerül, mely jópár régóta várt "újdonságot" hoz majd. Először is lehetővé vált a füles böngészés, melyet mára szinte az összes konkurrens browser tud, valamint egyéb olyan biztonsági megoldások is beépítésre kerültek, mint az opt-in (engedélyezendő) ActiveX-kezelés, a továbbfejlesztett bővítménykezelő, az adathalászat (phishing) elleni védelem, valamint a védett módú böngészés (Protected Mode). Napjaink egyik legelterjedtebb online bűnözési formája, az úgynevezett adathalászat. A phishing lényege, hogy olyan pénzügyi szolgálatásnak álcázott webhelyre csalják a felhasználót, mely
külsőre szinte pontosan megegyezik egy-egy bank, pénzintézet, vagy kereskedőcég honlapjaival. Itt aztán a felhasználótól olyan személyes adatokat kérnek be, melyek felhasználásával hozzáférhetnek bankszámlájához és egyéb privát értékeihez. A phishing elleni védelem központi szerepet kapott az Internet Explorer 7-ben, a böngésző első indításakor máris lehetőségünk van a szűrő bekapcsolására és a beállítások testreszabására. Az IE7 phishing filter-e egy online adatbázison és egy intelligens szűrőn alapul, mely tipikus jellemzők után kutatva feltérképezi az éppen látogatott weblap eredetiségét és megbízhatóságát.
Adathalászat elleni védelem az Internet Explorer 7-ben Az új böngésző további biztonsági megoldásai közé tartozik a Protected Mode, azaz a védett módú böngészés. Az Internet Explorer 7 alapértelmezésként védett módban fut, így - együttműködve a Vista egyéb biztonsági technológiáival, például az UAC-val - hozzáférhetetlenné teszi a rendszert az internet felől érkező kártevő alkalmazásokkal, ártalmas ActiveX vezérlőkkel szemben. A védett mód kikapcsolása - hacsak nem abszolút megbízható helyen, például céges intraneten böngészünk nem ajánlott.
Védett módú böngészés Az érvénytelen tanúsítvánnyal rendelkező oldalak meglátogatásakor eddig is kaptunk figyelmeztetést, most azonban olyan hangsúlyos lett a biztonsági riasztás, hogy az a kezdő felhasználók figyelmét sem kerülheti el. A megbízható, erős titkosítást használó oldalak címe mellett egy lakat-ikon jelzi a biztonságos kapcsolatot, a veszélyesnek minősített oldalak címsora pedig vörösre változik. Az érvénytelen, vagy lejárt érvényességi idővel rendelkező tanúsítványt használó weblapok továbbra is megtekinthetők, előtte azonban a felhasználónak nyugtáznia kell, hogy megértette a kockázati tényezőket és saját felelősségére lép be az oldalra.
Érvénytelen tanúsítvánnyal ellátott oldal
A nagyon titkos ügynök - BitLocker Drive Encryption A BitLocker egy teljesen új technológia, feladata a merevlemezen tárolt adatok titkosítása és ezzel elrejtése az illetéktelenek elől. A BitLocker működésének lényege, hogy az adatokat AES (Advanced Encryption Standard) kódolással tárolja a merevlemezen, így - különösen notebook-ok esetében - a számítógép ellopása és a merevlemezhez való fizikai hozzáférés esetén is használhatatlaná teszi azokat. A BitLocker a Trusted Platform Module (TPM) chipet is felhasználja az adatok védelmében, méghozzá oly módon, hogy a titkosításhoz használt kulcs magán a TPM modulon foglal helyet. A TPM chip alkalmazása esetén a Windows bootoláskor először ehhez a modulhoz fordul, és ha az ellenőrző adatok eltérnek a kívánttól, a Vista megtagadja a rendszer indítását és az adatokhoz való hozzáférést. A TPM chip segítségével a Windows azt is képes
detektálni, hogy külső módszerekkel módosítottak-e az adatokon, amíg a gép ki volt kapcsolva. A Bitlocker technológiával kapcsolatban korábban felmerültek olyan híresztelések, melyek szerint a Microsoft a titkosító megoldásába egy hátsó kaput is beépít annak érdekében, hogy a hatóságok a nyomozások illetve a vizsgálatok során vissza tudják fejteni a merevlemezeken tárolt titkosított adatokat. A cég azonban rögtön cáfolta ezeket a pletykákat, és kijelentette: nem hajlandó hátsó kaput építeni a Vista-ba, így a BitLocker és a TPM abszolút megbízható titkosítási eljárás lesz. A BitLocker használatához speciális módon kell partícionálni a merevlemezt: a rendszerköteten kívül szükség van egy aktív partícióra is, melyen a rendszerindító fájlok kapnak helyet - ez a kötet nem lesz titkosítva. A Vista online partícióméretezésének segítségével ezt a műveletet akár a számítógép újraindítása nélkül is elvégezhetjük. Ha rendelkezésre áll a megfelelő konfiguráció (a TPM chip már a legtöbb ma kapható notebookban megtalálható), a BitLocker meghajtótitkosítást a Control Panel / Security / BitLocker Drive Encryption menüpontja alatt kapcsolhatjuk be.
BitLocker meghajtótitkosítás Láthattuk, hogy a Windows Vista meglehetősen sok új és továbbfejlesztett módszerrel védekezik a kívülről vagy éppen belülről leselkedő veszélyek ellen, így remélhetőleg az eddigi legbiztonságosabb környezetet nyújtja majd a Windows-felhasználóknak. Azt is észrevehettük, hogy a most felsorolt funkciók egy része bétaváltozatban már elérhető Windows XP SP2 rendszerre is. Ettől függetlenül a Vista számos olyan újdonságot hoz, melyek egyik korábbi rendszeren sem lesznek használhatók, ennek megfelelően a Microsoft például az Internet Explorer 7 Vista-beli változatát is megkülönböztette egy + jel hozzáadásával. Idő és hely szűkében kihagytunk néhány olyan extra funkciót, amik a rendszer és személyes adataink további védelmét szolgálják. Ilyen például a beépített szülői felügyelet, ahol a rendszergazda jogú felhasználók szinte teljes ellenőrzést gyakorolhatnak a felügyelt fiókokon, valamint részletekbe menően bekorlátozhatják a gyermekek
által igénybe vehető helyi és online szolgáltatásokat. Nem említettük a jövő digitális azonosítójaként is emlegetett Windows CardSpace megoldást sem, mellyel egyéni, személyre szabott digitális azonosító "névjegykártyát" hozhatunk létre, így biztonságosan azonosítva magunkat különböző (CardSpace-t támogató) online szolgáltatások igénybevételekor. A cikkünk első részében tárgyalt funkciók elérhetősége operációs rendszerekre lebontva a következő: Windows XP SP2-n is elérhető: • •
Windows Defender (jelenleg Beta 2) Internet Explorer 7 (jelenleg Beta 3)
Csak Windows Vista rendszeren alkalmazható: • • • • • •
Kétirányú tűzfal, MMC konzollal User Account Control Internet Explorer 7 Protected Mode BitLocker Drive Encryption Integrált szülői felügyelet Windows CardSpace
