UAC może przydać się również w procesie instalacji aplikacji. Jeśli okaże się, że instalacja wprowadza zmiany o charakterze globalnym, będzie musiała zostać zaakceptowana przez administratora. Joanna Rutkowska - specjalistka w dziedzinie zabezpieczeń komputerowych - dostrzegła także pewne słabości tego mechanizmu, które mogą poważnie wpłynąć na ogólny poziom bezpieczeństwa systemu. Jeżeli instalujemy aplikację, dostajemy monit. Możemy zgodzić się na instalację lub też zabronić jej dostępu do zasobów. Jeżeli jednak wyrazimy zgodę, to wtedy aplikacja otrzymuje pełnię praw do systemu plików, rejestru i... jądra. To sprawia, że pod przykrywką niewinnej aplikacji może zostać zainstalowany chociażby rootkit.

Pod koniec stycznia tego roku Long Zgeng i Rafael Rivera wykryli kolejne słabości UAC i poparli je PoC (Proof of Concept). Według badaczy odpowiednio napisany skrypt potrafi wyłączyć UAC, zainstalować kod złośliwy i ponownie uruchomić komputer. Wydaje się więc, że UAC może w pewnych wypadkach dawać jedynie namiastkę mechanizmu bezpieczeństwa i jest raczej dodatkowym narzędziem administracyjnym.

Kilka innych usprawnień w obszarze bezpieczeństwa dokonano również w stosunku do sposobu działania usług. W Windows Server 2008 usługi uruchamiane w kontekście określonego użytkownika mają swój unikalny identyfikator (SID). Możliwości interakcji pomiędzy różnymi usługami pracującymi na tym samym koncie zostały więc znacznie ograniczone (jedna usługa nie może korzystać z zasobów drugiej pomimo wspólnego konta, na którym pracują). Ponadto usługa nie ma prawa zapisu do określonych zasobów chyba, że jej SID otrzyma takie pełnomocnictwo. Ograniczono również możliwości komunikacji sieciowej usług. Jesteśmy więc w stanie zabronić usłudze nawiązywania połączeń, ewentualnie wskazać porty, na których będzie mogła obierać lub ustanawiać połączenia.

Cesar Cerrudo, założyciel firmy Argeniss, odkrył niedawno kilka błędów w implementacji W2K8, których wykorzystanie może prowadzić do eskalacji uprawnień i przejęcia kontroli nad systemem. Wiążą się one właśnie z usługami. Możliwe jest użycie do tego celu procesów pracujących na lokalnych kontach systemowych Network Service i Local Service. Jak twierdzi Cerrudo, problem ten dotyczy również aplikacji IIS (Internet Information Services) pracującej z ustawieniami domyślnymi. Wówczas kompromitacja systemu możliwa jest za pomocą aplikacji ASP.NET. Problem odnosi się nie tylko do W2K8, lecz także Visty lub starszych systemów, takich jak XP czy Windows Server 2003. Jednak pomimo tych słabości Cerrudo uważa, że Windows Server 2008 jest bezpieczniejszy od swoich poprzedników.

Są też zmiany mniej drastyczne. Możemy do nich zaliczyć chociażby modyfikacje w obszarze urzędu certyfikacji i infrastruktury PKI. Cały urząd certyfikacji (Active Directory Certificate Services) został przeprojektowany, wprowadzono nowe szablony certyfikatów. Zmieniono także API kryptograficzne. Ułatwiono zarządzanie infrastrukturą PKI. Nie można zapominać również o zintegrowaniu AD RMS (Active Directory Rights Management Services) z nową rolą AD FS (Active Directory Federation Services). Dzięki temu użytkownicy zewnętrzni, którzy będą próbowali uzyskać dostęp do chronionych zasobów, będą najpierw uwierzytelniani przez swój kontroler domeny, co pozwoli uniknąć znanej z W2K3 konieczności utrzymywania podwójnych zestawów danych uwierzytelniających. Następnie wyegzekwowane zostaną reguły polityki RMS. Wprowadzono również nowy typ kontrolera domeny RODC (Read-Only Domain Controller), który przechowuje te same obiekty i atrybuty, co pełnowartościowy kontroler, ale nie pozwala na bezpośrednie wprowadzanie zmian. Wszystkie modyfikacje muszą pochodzić z "normalnego" kontrolera.

Windows Server 7 dopiero w 2010 r.

W wersji R2, mającej się pojawić na rynku w 2010 r., również planowane są pewne elementy, które ściśle wiążą się z bezpieczeństwem. Przede wszystkim ma być położony nacisk na daleko posuniętą integrację z Windows 7. Na tyle daleką, że dostęp do zasobów intranetowych z Windows 7 do W2K8 R2 ma być możliwy bez potrzeby stosowania VPN. Technologia ta nosi nazwę DirectAccess. Połączenie DA jest oczywiście szyfrowane, do uwierzytelniania można stosować karty inteligentne, a dostęp do poszczególnych serwerów czy aplikacji regulowany jest na poziomie użytkownika.

Nie ma jednak róży bez kolców. Żeby można było wykorzystać jej zalety, konieczne będzie przynajmniej częściowe przejście na IPv6 i uruchomienie usług IPSec w sieci. IPv6 może rodzić pewne obawy. Nie jest tajemnicą, że ze względu na swoją niewielką popularność, brakuje dopracowanych rozwiązań bezpieczeństwa (zapór ogniowych czy IPS), które mogłyby równie skutecznie chronić infrastrukturę, co produkty przeznaczone dla IPv4.

Bill Lang, wiceprezydent Microsoftu odpowiedzialny za gałąź serwerów, stwierdził w ubiegłym roku, że do skorzystania z DirectAccess IPv6 nie będzie musiał być wprowadzony w całej infrastrukturze. Liczy się jednak z tym, że musi upłynąć trochę czasu, zanim firmy będą gotowe na wdrożenie tej funkcjonalności.

To jednak nie koniec. Usprawniony został również system DFS (Distributed File System), który ma podnieść poziom bezpieczeństwa biur zdalnych poprzez możliwość tworzenia tzw. read-only replicated folders.

Wspominaliśmy, że Bit Locker w R2 został odrobinę poprawiony. Na pierwszy rzut oka widać dwie poważne zmiany - pierwszą już podczas instalacji. Tworzona jest osobna partycja systemowa ok. 200 MB, która nie jest widoczna z poziomu systemu operacyjnego. To właśnie z niej uruchamiany jest Windows. Ten prosty zabieg pozwala na ominięcie dotychczasowych ograniczeń Bit Lockera, polegających na braku możliwości zaszyfrowania partycji systemowej. Pojawia się też znany z pierwszych odsłon Windows 7 kreator konfiguracji Bit Lockera. Dzięki niemu w systemie plików automatycznie wprowadzone zostaną zmiany konieczne do optymalnej pracy Bit Lockera.

Poza tym będziemy mieli możliwość korzystania z Bit Lockera w wersji To Go przeznaczonej do szyfrowania pamięci przenośnych, którą może być zarówno pendrive, jak i dysk USB. Użytkownicy będą mogli wraz ze swoimi "kluczykami" wędrować (roaming) pomiędzy komputerami z Windows 7 lub Windows 2008 R2 i odszyfrowywać je przy wykorzystaniu infrastruktury PKI i kart inteligentnych lub standardowych haseł.

W internecie można znaleźć już pierwsze testy funkcjonowania tego mechanizmu autorstwa Pauli Januszkiewicz (ISCG) i Nataniela Zielińskiego (ISCG). Z Bit Lockerem wiąże się też inna nowa technologia - DRA (Data Recovery Agents). Jest to oparty na certyfikatach mechanizm, który ma usprawnić proces odzyskiwania danych w razie problemów z deszyfracją nośnika.

Pojawił się także mechanizm AppLocker. Pozwala on na ograniczenie możliwości uruchamiania aplikacji na komputerach z Windows 7 - taki wbudowany w system moduł kontroli aplikacji. Możemy więc poprzez politykę wskazać ścieżkę, z której nie zezwalamy na uruchomienie aplikacji, czy wskazać konkretną wersję aplikacji poprzez dodanie jej sumy kontrolnej. Niby nic nowego - w W2K3 był przecież podobny mechanizm. Dodano jednak możliwość dookreślenia aplikacji poprzez wskazanie nazwy jej wystawcy, nazwy programu, a także wersji - informacji pochodzących z certyfikatu, a zatem trudnych do zmodyfikowania przez użytkownika.

Na koniec jeszcze jedna nowość wprowadzona w W2K8 R2 - obsługa DNSSEC, czyli DNS Security, którego założenia opisują dokumenty RFC 4033, 4034 i 4035. DNSSEC pozwala na zweryfikowanie za pomocą infrastruktury klucza publicznego integralności i autentyczności przesyłanych danych. Zabezpieczenia te wprowadzane są na poziomie strefy, a więc przełamanie zabezpieczeń jednego z serwerów nie spowoduje kompromitacji całej strefy. Dzięki DNSSEC możliwe jest podjęcie skutecznej walki np. z atakami typu DNS poisoning. Sam standard nie jest niczym nowym. W obecnej formie istnieje od dobrych kilku lat. Nasi południowi sąsiedzi, Czesi, wykorzystują go do zabezpieczenia swojej domeny ".cz". Produkcyjnie DNSSEC funkcjonuje nawet w tak egzotycznych krajach, jak Puerto Rico.

Windows Server 2008 wprowadził kilka ciekawych technologii wiążących się ściśle z podniesieniem poziomu bezpieczeństwa. Część z nich wymaga dopracowania, choć kierunek zmian jest właściwy. Szkoda tylko, że zarówno na Windows 7, jak i Windows Server 2008 R2 przyjdzie nam jeszcze trochę poczekać.