Kontrola w punktach końcowych sieci

Wiele zawartych w nowym systemie ulepszeń (od jądra począwszy) jest rozwijanych od lat, w tym także cały łańcuch przejętych technologii. Nic więc dziwnego, że firma wymienia mechanizmy bezpieczeństwa jako jeden z głównych powodów do przejścia na nowe wersje.

Najbardziej znaczące zmiany w zakresie bezpieczeństwa dotyczą uprawnień związanych z kontami użytkowników. Vista wprowadza mechanizm User Account Control (UAC). Pozwala on na większą funkcjonalność w ograniczaniu dostępu związanego z kontami użytkowników, niż we wcześniejszych edycjach Windows, które często wymagały dostępu administracyjnego nawet do prostych, mało ryzykownych zadań. UAC utrudni także wirusom i robakom przejmowanie kontroli nad systemem Windows, ograniczając obszary systemu operacyjnego, do których można uzyskać dostęp.

Generalnie zakłada się oddzielenie praw administracyjnych od praw użytkowników. Administrator może wprowadzać zmiany w systemie bez ograniczeń, natomiast użytkownik może instalować tylko takie programy, które nie będą ingerować w jądro systemu. Skanery antywirusowe, sterowniki do drukarek, uaktualnienia systemu, tworzenie połączeń dial-up lub połączeń VPN i wiele innych potencjalnie niebezpiecznych usług i funkcji zostało oddzielonych od jądra, aby mogły poprawnie działać z uprawnieniami zwykłego użytkownika.

W wersji beta2 pojawił się także mechanizm kontroli dostępu NAP. W ramach tej techniki - opcjonalnie dostępnej w Longhorn - klient od momentu pojawienia się urządzenia w sieci jest testowany wg przyjętego schematu kontroli dostępu. Jeżeli nie spełnia warunków testu, to jest poddawany kwarantannie lub blokowana jest możliwość uwierzytelnienia go w sieci.

Za każdym razem, gdy loguje się nowy klient, GP (Group Policy) żąda przekazania z klienta do serwera informacji dotyczących określonych systemów maszyny klienckiej. Informacje te są konfrontowane z zestawem reguł polityki w GP.

W Longhorn GPM Server jest połączony z wbudowanym serwerem DHCP. Klient Windows XP lub Vista po otrzymaniu adresu jest proszony o wysłanie do serwera informacji o kondycji systemu w formie certyfikatu. Certyfikaty takie dostarczają informacji o różnorodnych stanach maszyny klienta. Na przykład powiadamiają serwer o tym, czy maszyna ma aktualne definicje wirusów lub została załadowana obowiązującymi plikami. Takie certyfikaty są porównywane z obowiązującymi regułami polityki zdefiniowanymi w Longhorn i na podstawie tych porównań serwer gwarantuje odpowiedni zakres dostępu do sieci.

Jeżeli para użytkownik/maszyna nie spełnia testu certyfikatu, administrator może zdefiniować, czy ich dostęp ogranicza się do naprawczej sieci VLAN, gdzie strona WWW kieruje użytkownika do zasobów niezbędnych do uzyskania dostępu (np. najnowsze uaktualnienie antywirusowe) lub zatrzymuje go w zamkniętym obszarze sieci dopóty, dopóki nie spełni warunków uwierzytelniania.

W przedsiębiorstwach, a także w zastosowaniach domowych można skorzystać z domyślnych zapór ogniowych Vista, które blokują ruch wejściowy i wyjściowy. Ale ich znaczenie może być niewielkie, ponieważ większość przedsiębiorstw używa już zapór ogniowych z podobnymi możliwościami. Bardziej namacalne korzyści ma przynieść mechanizm antyspyware zagnieżdżony w Vista, znany jako Windows Defender. Produkt ten uzyskany w wyniku przejęcia firmy Giant Company Software pojawił się już w wydaniu beta na platformę XP.

Przedsiębiorstwa otrzymają uaktualnienia antyspyware za pośrednictwem Windows Server Update Services i Windows Update - w strumieniu uaktualnień dla systemu operacyjnego.

To nowe podejście Microsoftu oznacza z pewnością duże kłopoty dla niezależnych firm antyspyware, które były pionierami we wprowadzaniu rozwiązań antyspyware dla odbiorców indywidualnych i przedsiębiorstw.

W miarę jak nowe mechanizmy antyspyware, antywirusowe i zapory ogniowej będą się rozprzestrzeniać w olbrzymiej bazie instalacyjnej Microsoftu, to zaczną nabierać coraz większego znaczenia w połączeniu z innymi produktami ochronnymi firmy, takimi jak produkt ochrony poczty elektronicznej Antigen lub brama ochronna ISA (Internet Security and Acceleration). Microsoft pracuje również nad integracją danych ze SpyNet - siecią komputerów Windows Defender, która raportuje o nowych zagrożeniach - oraz takimi źródłami, jak program Client Protection, usługa antywirusowa dla klientów konsumenckich OneCare i in. Ma to być połączone z innymi kluczowymi elementami infrastruktury, takimi jak Exchange, Active Directory i Group Policy.

Najnowsze przejęcie firmy Whale Communications, dostawcy SSL VPN, wzmocni tylko pozycję Microsoftu jako dostawcy bezpiecznych usług zdalnego dostępu.

Longhorn może także chronić urządzenia przed instalowaniem ad hoc, redukując ryzyko związane z kradzieżą danych czy blokując alternatywne, niepożądane odgałęzienia sieciowe. Metoda polityki grupowej pozwala chronić grupy, użytkowników lub specyficzne komputery przed instalacją sterowników specyficznych urządzeń. Pozwoli to na zablokowanie dostępu do systemu operacyjnego Longhorn osprzętu takiego jak pamięci USB, karty bezprzewodowe lub zewnętrzne dyski CD/DVD. Można oczywiście fizycznie włączyć takie urządzenie, ale system chroni przed jego instalacją na podstawie reguł polityki.

Pomimo niedostatków nowy system to duży krok w ewolucji Microsoftu jako dostawcy bezpiecznego oprogramowania i oprogramowania ochronnego w zakresie antymalware, zarządzania tożsamością i dostępem, ochrony wymiany wiadomości, kontroli dostępu do sieci, a także oprogramowania do zarządzania regułami polityki.