Windows Vista przegląd kodu finalnego

Przechodząc na nowy system operacyjny Microsoftu, administratorzy sieci muszą nastawić się na trud ustawiania specyficznych reguł polityki bezpieczeństwa.

Przechodząc na nowy system operacyjny Microsoftu, administratorzy sieci muszą nastawić się na trud ustawiania specyficznych reguł polityki bezpieczeństwa.

Windows Vista został przekazany do produkcji na początku listopada 2006 r., z zamiarem udostępnienia systemu użytkownikom korporacyjnym jeszcze w tym samym miesiącu. Zawiera znaczące ulepszenia w zakresie grafiki, oferuje bardziej elastyczne opcje instalowania i daje administratorowi szerszą kontrolę nad ustawieniami bezpieczeństwa systemu operacyjnego.

Windows Vista przegląd kodu finalnego

W Windows Mobility Center zebrano różne ustawienia niezbędne do funkcjonowania komputera w sytuacjach mobilnych.

Testy edycji Ultimate wykazały jednak, że domyślne ustawienia nie są w pełni bezpieczne. To w połączeniu z faktem, iż Microsoft oferuje teraz różne metody wymuszania bezpieczeństwa, oznacza dla administratorów większy wysiłek w zapewnianiu bezpiecznego wdrożenia Vista Ultimate.

Testy wykazały również, że stosowany w Vista Ultimate bardziej hierarchiczny model bezpieczeństwa dotyczący użytkownika - o nazwie User Account Control (UAC) - prawdopodobnie będzie kłopotliwy w szerokim rozpowszechnianiu - zarówno z systemowego, jak i administracyjnego punktu widzenia.

Historycznie rzecz ujmując, aplikacje Windows zakładają posiadanie praw dostępu do pewnych mechanizmów systemu operacyjnego na poziomie głównym (root). Kiedy aplikacja próbuje wykorzystać to na maszynie sterowanej przez Vista Ultimate, próba taka wyzwala automatyczną reakcję systemu operacyjnego, który odpytuje użytkownika, czy taki dostęp powinien być zagwarantowany w celu wykonania żądanej przez aplikację operacji (tekst reakcji systemu operacyjnego jest często zagadkowy i oferowane są jedynie pozycje rejestru, gdy użytkownik zażąda detali związanych z komunikatem). Podczas testów zarówno legalne oprogramowanie, jak i szkodliwe programy konsekwentnie prowokowały wydawanie takiego komunikatu i tym samym konieczność dokonywania wyboru.

Windows Vista przegląd kodu finalnego

Panel sterowania - menu główne

Użytkownicy Windows XP SP2 mogą być przyzwyczajeni do komunikatów interwencyjnych związanych z dostępem na poziomie głównym, ale Windows Ultimate idzie dalej, zabezpieczając się nawet przed dokonywaniem zmian we właściwym systemie operacyjnym bez pozwolenia użytkownika czy administratora przez niektóre własne mechanizmy. Pokusą jest raczej akceptowanie niż odrzucanie takich żądań, w celu uzyskania dostępu do potrzebnych aplikacji. Ujemną stroną takiej decyzji może być wpuszczenie wirusa, trojana lub innego złośliwego programu przez "frontowe drzwi", pomimo obecności aplikacji Windows Defender i wielu ustawień bezpieczeństwa wprowadzonych przez ostrożnego administratora.

Podczas testów można było łatwo zainfekować maszynę Vista Ultimate różnymi wariantami trojana Blaster, pozwalając na wykonanie aplikacji w sposób wyżej podany. Microsoft zdecydował się na pozostawienie takich decyzji w rękach użytkowników i mechanizmów ich wsparcia, zamiast wymuszać na tysiącach dostawców aplikacji modyfikowanie ich kodów, tak aby postępowały zgodnie z hierarchicznym modelem dostępu użytkownika.

Windows Vista przegląd kodu finalnego

Panel sterowania - zebrane opcje bezpieczeństwa

Dlatego zanim wszelkie aplikacje przedsiębiorstwa nie staną się dostępne wprost dla platformy Vista Ultimate, jakiekolwiek wyjątkowe zachowanie aplikacji będzie wymagać angażowania administratora (personelu helpdesk). W wielu wypadkach użytkownicy nie będą po prostu wiedzieli co począć, kiedy staną przed koniecznością podjęcia decyzji.

Podczas testów wykryto kilka problemów związanych z tym, jak Vista Ultimate w połączeniu z nowym Internet Explorer 7 w zakresie certyfikatów cyfrowych obsługuje interakcje z ośrodkami i usługami chronionym przez SSL. Vista Ultimate i Internet Explorer 7 zmieniają sposób przetwarzania certyfikatów cyfrowych i mogą spowodować komunikat błędu, który nie zawiera typowych szczegółów o problematycznym certyfikacie. Użytkownicy i administratorzy nie dostają prawie żadnej informacji pomocnej w rozwiązywaniu złożonych problemów PKI związanych z SSL, która pozwalałaby samemu śledzić intruza używającego nieprawidłowych certyfikatów.

Migracja i instalacja

Windows Vista przegląd kodu finalnego

Stosowany w Vista Ultimate bardziej hierarchiczny model bezpieczeństwa użytkownika - o nazwie User Account Control (UAC) - prawdopodobnie będzie kłopotliwy w szerokim rozpowszechnianiu - zarówno z systemowego, jak i administracyjnego punktu widzenia.

Microsoft dostarczył do testów dwa komputery HP z procesorem dwurdzeniowym - desktop i notebook - z zainstalowaną edycją Windows Vista Ultimate. Stwierdzono, że podwyższenie bezpieczeństwa przy świeżej instalacji jest sprawą użycia odpowiednio skonfigurowanych rejestrów - pakietu zmian w rejestrach likwidujących nieszczelności pozostawiane przez ustawienia domyślne. (zob. "Niebezpieczne ustawienia domyślne Windows Vista").

W niektórych organizacjach należy temu poświęcić szczególną uwagę, ponieważ nowa lokalna polityka bezpieczeństwa uniemożliwia dostęp do wszystkich wersji (z wyjątkiem ostatnich) Samba na serwerach Linux. W celu uzyskania takiego dostępu dla klientów w laboratorium testowym, trzeba było uaktualnić implementacje Samba lub zmniejszyć stopień skomplikowania hasła NTLM (NT Lan Manager) Vista Ultimate.

Do wspomagania prekonfiguracji i migracji służy uaktualnione User State Migration Tool (USMT) dla Windows 2003 Server Enterprise Edition, dopuszczające dwa różne typy instalacji Vista Ultimate: migracja "in situ", w której ustawienia i dane użytkownika są przemieszczane w całości, oraz migracja typu "wyczyść i zainstaluj" (wipe-and-retrofit). Dostępny jest także zestaw narzędzi o nazwie Windows Easy Transfer, który w istocie zapewnia tradycyjną instalację wykorzystującą dyski DVD, zajmującą ponad trzy godziny (komputer HP/Compaq, 32-bitowy, 512 MB DRAM, dysk 80 GB). Prosta migracja typu "wipe-and-retrofit" zabiera 35 min. Jednak trzeba pamiętać, że migracja musi być wcześniej zaplanowana.

Aplikacja USMT tworzy plik Windows Imaging (WIM), który może być następnie używany jako szablon dystrybuowanego systemu Vista Ultimate w odmianach dostosowanych do poszczególnych typów sprzętu. Odmiennie niż w poprzednich edycjach Windows instalacja Vista Ultimate jest sterowana wyłącznie przez GUI, a sterowniki mogą być ładowane podczas instalacji z pamięci USB, CD/DVD lub innych rodzajów dysków. Mogą być też zagnieżdżone w obrazie dystrybucyjnym USMT, przygotowanym dla danej organizacji. Kilka takich obrazów systemu (odmiany dla różnego sprzętu czy wyboru aplikacji i ustawień) może być umieszczonych w tym samym pliku WIM.

Windows Vista przegląd kodu finalnego

Konfigurowanie zapory ogniowej

Niektóre aplikacje komunikacyjne Vista Ultimate, takie jak Windows Meeting Space, wymagają, aby administrator obniżył niektóre ustawienia bezpieczeństwa, chyba że użytkownicy są uwierzytelniani poprzez Windows Active Directory. Aplikacja dopuszcza współdzielenie desktopa i aplikacji pomiędzy maksimum dziesięciu użytkowników, którzy mają odpowiednie uprawnienia i przeszli pozytywnie proces uwierzytelniania. W czasie testów stwierdzono, że sesje mogą być ustanawiane, gdy użytkownik zostanie uwierzytelniony przez Active Directory, a nie może być uwierzytelniany przez Samba (emulator SNB/Active Directory).

Co się może podobać

Windows Vista przegląd kodu finalnego

Windows Defender - raport skanowania

Dyski zainstalowane w maszynach Vista Ultimate mogą być teraz całkowicie zaszyfrowane dzięki dopracowanej implementacji szyfrowania w Microsoft BitLocker. Wymaga to dwóch partycji (jedna jest zaszyfrowana), mikroukładu Trusted Platform Module (w wersji 1.2 lub wyższej) oraz BIOS-a, który go obsługuje. Niektóre kombinacje mikroukład/BIOS obsługują przechowywanie kluczy w samym mikroukładzie, inne wymagają zewnętrznej pamięci USB. Maszyny używające Windows XP - uaktualniane do Vista Ultimate - będą prawdopodobnie wymagały repartycjonowania dysku w celu umożliwienia używania tej funkcji.

Windows Vista przegląd kodu finalnego

Ocena Windows Vista Ultimate

Windows Mobility Center, zaprojektowane do upakowywania różnorodnych ustawień niezbędnych do funkcjonowania komputera w sytuacjach "mobilnych", łączy funkcje kilku aplikacji Windows XP (np. ustawienia Wi-Fi wymagały uprzednio nawigowania po kilku aplikacjach), ułatwiając posługiwanie się nimi, i dodaje kilka krytycznych mechanizmów, takich jak wbudowane wsparcie IEEE 802.112a/b/g WPA2 i stan połączenia.

W zależności od poziomu jakości adaptera monitora (w testach używano adapterów nVidia), przebudowany interfejs użytkownika jest dużo przyjemniejszy dla oka (prawdopodobnie dzięki przyjęciu podejścia stosowanego w komputerach typu Mac) i jest dużo łatwiejszy do nawigowania - granice ikon są lepiej zdefiniowane, a przewijanie i przeciąganie obiektów jest łatwiejsze.

Podsumowanie

Generalnie Vista Ultimate może się podobać, ale ta opinia jest uwarunkowana zastrzeżeniami, które trzeba mieć na uwadze zanim dostarczy się system użytkownikowi. User Account Control musi być zgodny z przyjętą w organizacji polityką bezpieczeństwa, w przeciwnym razie użytkownik będzie niechcący szkodził sam sobie i całej sieci korporacyjnej, dokonując niewłaściwych wyborów. Szczególnie uciążliwe są nieprecyzyjne komunikaty o błędach, w czym Microsoft jest konsekwentny i krytykowany od lat. W opinii testujących będzie to nadal dużym zmartwieniem personelu helpdesk.

<hr>Microsoft Windows Vista Ultimate Edition

Windows Vista przegląd kodu finalnego
Zalety: bardzo sprawny interfejs użytkownika, wiele opcji instalacyjnych, w wysokim stopniu dostosowywane szczegóły ustawień bezpieczeństwa

Wady: sprawia wrażenie przyrostowego uaktualnienia, pewne problemy związane z bezpieczeństwem nadal istnieją

Cena: 399 USD

Jak testowano

Testom poddano Windows Vista Ultimate Edition (wersje 32- i 64-bitowa), sprawdzając ustawienia bezpieczeństwa, kompatybilność aplikacji i połączeń, jak również mechanizmy systemu operacyjnego.

System testowano na dwóch zestawach, w trzech wariantach: instalacja OEM, instalacja 32- i 64-bitowa na "gołym" sprzęcie i uaktualnianie, w ramach którego przeprowadzono migracje wszystkich ustawień i danych z Windows XP SP2.

W pierwszym zestawie testowym, dla którego Microsoft dostarczył system OEM zainstalowany na HP Media Center PC (HP Pavilion m7660e z 64-bitowym procesorem Athlon Dual Core X2 5000+ - 2,6 GHz, 2 GB DRAM, dysk SATA 400 GB oraz oprzyrządowanie: audio/wideo, Wi-Fi, FireWire, USB 2.0 i interfejsy Gigabit Ethernet) oraz HP Entertainment notebook (HP PN EW680AV z procesorem 64-bitowym AMD Turion - 2 GHz, 2 GB DRAM, Gigabit Ethernet, AV, USB 2.0, Wi-Fi 802.11). Ponadto system instalowano na czystej maszynie i jako uaktualnianie na desktopie Compaq Presario (Intel Celeron 32-bitowy - 2,8 GHz, 512 MB DRAM, dysk 80 GB, Gigabit Ethernet, USB 2.0).

Podczas testów zestaw pierwszy używał środowiska Gigabit Ethernet z następującymi serwerami: Windows 2003 Enterprise Server Edition (jako sterownik Active Directory), Suse Linux Enterprise Server 10.1 i Apple Xserve (Mac OS 10.3.9). Do połączeń Wi-Fi używano Linksys WRT54G z firmware obsługującym IPv6. Windows Vista Ultimate Edition 32 i 64 bity (Build 6000) testowano z Windows XP SP2, Mac OS 10.3.9 i 10.4.7, kilkoma odmianami Linuksa z jądrem 2.6.16/17 - na desktopach i notebookach.

Na drugim zestawie testowym Vista Ultimate załadowano na dwa komputery: Shuttle X2 (Intel Celeron 2 GHz, 521 MB RAM i dysk twardy 18 GB) oraz notebook IBM Thinkpad (T40 z 512 MB RAM i dyskiem 60 GB). Użyto Ethernet 10 Mb/s i połączeń bezprzewodowych 802.11b. W tym zestawie testowym użyto platformy linuksowej z NMAP, Ethereal, DNS i standardowymi narzędziami sieciowymi do sprawdzania ruchu sieciowego. Użyto również konta pocztowego w Google i konwencjonalnej usługi dostępu do Internetu.

Testowano różne aplikacje dostawców niezależnych, które pracowały poprawnie na platformie Vista Ultimate bez komunikatów błędów związanych z instalowaniem. Aplikacje te to Firefox 2, Skype 2.0 i 1.4.0.84, Acrobat Reader 6.0, OpenOffice 2.0.2, AOL 8.0, Quicktime 6.1, MusicMatch Jukebox 7.00.0149, TightVNC viewer v1.2.9.0, PuTTY 0.58, HijackThis 1.99.0.1, AutoRuns 8.51 i Nero OEM v6.0.

Oprogramowanie, które nie przeszło testów, to: Descent II, gra graficzna dla DOS, HWInfo 1.5, DokeNukem 3D, VNCserver 4.0.0.26 i Cygwin 2.510.2.2.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200