Windows Vista przegląd kodu finalnego
- Józef Muszyński,
- Thomas Henderson,
- Rodney Thayer,
- Laszlo Szenes,
- 04.01.2007
Przechodząc na nowy system operacyjny Microsoftu, administratorzy sieci muszą nastawić się na trud ustawiania specyficznych reguł polityki bezpieczeństwa.
Przechodząc na nowy system operacyjny Microsoftu, administratorzy sieci muszą nastawić się na trud ustawiania specyficznych reguł polityki bezpieczeństwa.
Windows Vista został przekazany do produkcji na początku listopada 2006 r., z zamiarem udostępnienia systemu użytkownikom korporacyjnym jeszcze w tym samym miesiącu. Zawiera znaczące ulepszenia w zakresie grafiki, oferuje bardziej elastyczne opcje instalowania i daje administratorowi szerszą kontrolę nad ustawieniami bezpieczeństwa systemu operacyjnego.
Testy edycji Ultimate wykazały jednak, że domyślne ustawienia nie są w pełni bezpieczne. To w połączeniu z faktem, iż Microsoft oferuje teraz różne metody wymuszania bezpieczeństwa, oznacza dla administratorów większy wysiłek w zapewnianiu bezpiecznego wdrożenia Vista Ultimate.
Testy wykazały również, że stosowany w Vista Ultimate bardziej hierarchiczny model bezpieczeństwa dotyczący użytkownika - o nazwie User Account Control (UAC) - prawdopodobnie będzie kłopotliwy w szerokim rozpowszechnianiu - zarówno z systemowego, jak i administracyjnego punktu widzenia.
Historycznie rzecz ujmując, aplikacje Windows zakładają posiadanie praw dostępu do pewnych mechanizmów systemu operacyjnego na poziomie głównym (root). Kiedy aplikacja próbuje wykorzystać to na maszynie sterowanej przez Vista Ultimate, próba taka wyzwala automatyczną reakcję systemu operacyjnego, który odpytuje użytkownika, czy taki dostęp powinien być zagwarantowany w celu wykonania żądanej przez aplikację operacji (tekst reakcji systemu operacyjnego jest często zagadkowy i oferowane są jedynie pozycje rejestru, gdy użytkownik zażąda detali związanych z komunikatem). Podczas testów zarówno legalne oprogramowanie, jak i szkodliwe programy konsekwentnie prowokowały wydawanie takiego komunikatu i tym samym konieczność dokonywania wyboru.
Podczas testów można było łatwo zainfekować maszynę Vista Ultimate różnymi wariantami trojana Blaster, pozwalając na wykonanie aplikacji w sposób wyżej podany. Microsoft zdecydował się na pozostawienie takich decyzji w rękach użytkowników i mechanizmów ich wsparcia, zamiast wymuszać na tysiącach dostawców aplikacji modyfikowanie ich kodów, tak aby postępowały zgodnie z hierarchicznym modelem dostępu użytkownika.
Podczas testów wykryto kilka problemów związanych z tym, jak Vista Ultimate w połączeniu z nowym Internet Explorer 7 w zakresie certyfikatów cyfrowych obsługuje interakcje z ośrodkami i usługami chronionym przez SSL. Vista Ultimate i Internet Explorer 7 zmieniają sposób przetwarzania certyfikatów cyfrowych i mogą spowodować komunikat błędu, który nie zawiera typowych szczegółów o problematycznym certyfikacie. Użytkownicy i administratorzy nie dostają prawie żadnej informacji pomocnej w rozwiązywaniu złożonych problemów PKI związanych z SSL, która pozwalałaby samemu śledzić intruza używającego nieprawidłowych certyfikatów.
Migracja i instalacja
Microsoft dostarczył do testów dwa komputery HP z procesorem dwurdzeniowym - desktop i notebook - z zainstalowaną edycją Windows Vista Ultimate. Stwierdzono, że podwyższenie bezpieczeństwa przy świeżej instalacji jest sprawą użycia odpowiednio skonfigurowanych rejestrów - pakietu zmian w rejestrach likwidujących nieszczelności pozostawiane przez ustawienia domyślne. (zob. "Niebezpieczne ustawienia domyślne Windows Vista").W niektórych organizacjach należy temu poświęcić szczególną uwagę, ponieważ nowa lokalna polityka bezpieczeństwa uniemożliwia dostęp do wszystkich wersji (z wyjątkiem ostatnich) Samba na serwerach Linux. W celu uzyskania takiego dostępu dla klientów w laboratorium testowym, trzeba było uaktualnić implementacje Samba lub zmniejszyć stopień skomplikowania hasła NTLM (NT Lan Manager) Vista Ultimate.
Do wspomagania prekonfiguracji i migracji służy uaktualnione User State Migration Tool (USMT) dla Windows 2003 Server Enterprise Edition, dopuszczające dwa różne typy instalacji Vista Ultimate: migracja "in situ", w której ustawienia i dane użytkownika są przemieszczane w całości, oraz migracja typu "wyczyść i zainstaluj" (wipe-and-retrofit). Dostępny jest także zestaw narzędzi o nazwie Windows Easy Transfer, który w istocie zapewnia tradycyjną instalację wykorzystującą dyski DVD, zajmującą ponad trzy godziny (komputer HP/Compaq, 32-bitowy, 512 MB DRAM, dysk 80 GB). Prosta migracja typu "wipe-and-retrofit" zabiera 35 min. Jednak trzeba pamiętać, że migracja musi być wcześniej zaplanowana.
Aplikacja USMT tworzy plik Windows Imaging (WIM), który może być następnie używany jako szablon dystrybuowanego systemu Vista Ultimate w odmianach dostosowanych do poszczególnych typów sprzętu. Odmiennie niż w poprzednich edycjach Windows instalacja Vista Ultimate jest sterowana wyłącznie przez GUI, a sterowniki mogą być ładowane podczas instalacji z pamięci USB, CD/DVD lub innych rodzajów dysków. Mogą być też zagnieżdżone w obrazie dystrybucyjnym USMT, przygotowanym dla danej organizacji. Kilka takich obrazów systemu (odmiany dla różnego sprzętu czy wyboru aplikacji i ustawień) może być umieszczonych w tym samym pliku WIM.
Co się może podobać
Dyski zainstalowane w maszynach Vista Ultimate mogą być teraz całkowicie zaszyfrowane dzięki dopracowanej implementacji szyfrowania w Microsoft BitLocker. Wymaga to dwóch partycji (jedna jest zaszyfrowana), mikroukładu Trusted Platform Module (w wersji 1.2 lub wyższej) oraz BIOS-a, który go obsługuje. Niektóre kombinacje mikroukład/BIOS obsługują przechowywanie kluczy w samym mikroukładzie, inne wymagają zewnętrznej pamięci USB. Maszyny używające Windows XP - uaktualniane do Vista Ultimate - będą prawdopodobnie wymagały repartycjonowania dysku w celu umożliwienia używania tej funkcji.
W zależności od poziomu jakości adaptera monitora (w testach używano adapterów nVidia), przebudowany interfejs użytkownika jest dużo przyjemniejszy dla oka (prawdopodobnie dzięki przyjęciu podejścia stosowanego w komputerach typu Mac) i jest dużo łatwiejszy do nawigowania - granice ikon są lepiej zdefiniowane, a przewijanie i przeciąganie obiektów jest łatwiejsze.
Podsumowanie
Generalnie Vista Ultimate może się podobać, ale ta opinia jest uwarunkowana zastrzeżeniami, które trzeba mieć na uwadze zanim dostarczy się system użytkownikowi. User Account Control musi być zgodny z przyjętą w organizacji polityką bezpieczeństwa, w przeciwnym razie użytkownik będzie niechcący szkodził sam sobie i całej sieci korporacyjnej, dokonując niewłaściwych wyborów. Szczególnie uciążliwe są nieprecyzyjne komunikaty o błędach, w czym Microsoft jest konsekwentny i krytykowany od lat. W opinii testujących będzie to nadal dużym zmartwieniem personelu helpdesk.
<hr>Microsoft Windows Vista Ultimate Edition
Zalety: bardzo sprawny interfejs użytkownika, wiele opcji instalacyjnych, w wysokim stopniu dostosowywane szczegóły ustawień bezpieczeństwa
Wady: sprawia wrażenie przyrostowego uaktualnienia, pewne problemy związane z bezpieczeństwem nadal istnieją
Cena: 399 USD
Testom poddano Windows Vista Ultimate Edition (wersje 32- i 64-bitowa), sprawdzając ustawienia bezpieczeństwa, kompatybilność aplikacji i połączeń, jak również mechanizmy systemu operacyjnego.
System testowano na dwóch zestawach, w trzech wariantach: instalacja OEM, instalacja 32- i 64-bitowa na "gołym" sprzęcie i uaktualnianie, w ramach którego przeprowadzono migracje wszystkich ustawień i danych z Windows XP SP2.
W pierwszym zestawie testowym, dla którego Microsoft dostarczył system OEM zainstalowany na HP Media Center PC (HP Pavilion m7660e z 64-bitowym procesorem Athlon Dual Core X2 5000+ - 2,6 GHz, 2 GB DRAM, dysk SATA 400 GB oraz oprzyrządowanie: audio/wideo, Wi-Fi, FireWire, USB 2.0 i interfejsy Gigabit Ethernet) oraz HP Entertainment notebook (HP PN EW680AV z procesorem 64-bitowym AMD Turion - 2 GHz, 2 GB DRAM, Gigabit Ethernet, AV, USB 2.0, Wi-Fi 802.11). Ponadto system instalowano na czystej maszynie i jako uaktualnianie na desktopie Compaq Presario (Intel Celeron 32-bitowy - 2,8 GHz, 512 MB DRAM, dysk 80 GB, Gigabit Ethernet, USB 2.0).
Podczas testów zestaw pierwszy używał środowiska Gigabit Ethernet z następującymi serwerami: Windows 2003 Enterprise Server Edition (jako sterownik Active Directory), Suse Linux Enterprise Server 10.1 i Apple Xserve (Mac OS 10.3.9). Do połączeń Wi-Fi używano Linksys WRT54G z firmware obsługującym IPv6. Windows Vista Ultimate Edition 32 i 64 bity (Build 6000) testowano z Windows XP SP2, Mac OS 10.3.9 i 10.4.7, kilkoma odmianami Linuksa z jądrem 2.6.16/17 - na desktopach i notebookach.
Na drugim zestawie testowym Vista Ultimate załadowano na dwa komputery: Shuttle X2 (Intel Celeron 2 GHz, 521 MB RAM i dysk twardy 18 GB) oraz notebook IBM Thinkpad (T40 z 512 MB RAM i dyskiem 60 GB). Użyto Ethernet 10 Mb/s i połączeń bezprzewodowych 802.11b. W tym zestawie testowym użyto platformy linuksowej z NMAP, Ethereal, DNS i standardowymi narzędziami sieciowymi do sprawdzania ruchu sieciowego. Użyto również konta pocztowego w Google i konwencjonalnej usługi dostępu do Internetu.
Testowano różne aplikacje dostawców niezależnych, które pracowały poprawnie na platformie Vista Ultimate bez komunikatów błędów związanych z instalowaniem. Aplikacje te to Firefox 2, Skype 2.0 i 1.4.0.84, Acrobat Reader 6.0, OpenOffice 2.0.2, AOL 8.0, Quicktime 6.1, MusicMatch Jukebox 7.00.0149, TightVNC viewer v1.2.9.0, PuTTY 0.58, HijackThis 1.99.0.1, AutoRuns 8.51 i Nero OEM v6.0.
Oprogramowanie, które nie przeszło testów, to: Descent II, gra graficzna dla DOS, HWInfo 1.5, DokeNukem 3D, VNCserver 4.0.0.26 i Cygwin 2.510.2.2.