Итак, какие же средства защиты имеются в новой операционной системе Windows Vista?

Поддержка аппаратных средств защиты

Что касается поддержки аппаратных средств защиты, то в первую очередь следует отметить случайное расположение адресного пространства (Address Space Layout Randomization, ASLR). Суть этого вида защиты заключается в случайном выборе адресов памяти для расположения ключевых системных исполняемых файлов и библиотек при перезагрузке системы, что осложняет вредоносному программному обеспечению поиск файлов, которые оно использует для атаки.

Еще один вид защиты в Windows Vista, затрудняющий применение системных функций вредоносным кодом, — это Data Execution Prevention, то есть поддержка реализованной на уровне процессора технологии NX (No Execute), которая дает программному обеспечению возможность помечать сегменты памяти, где могут храниться только данные, и тем самым не разрешать приложениям исполнять произвольный код в таких сегментах (это могут делать многие современные процессоры). Поддержка технологии NX позволяет исключить выполнение кода в областях памяти, предназначенных для хранения данных, что нередко используется вредоносным ПО для получения возможности управлять компьютером. Кроме того, разработчики приложений для данной операционной системы могут встраивать поддержку технологии NX в свои продукты — для этого им предоставляется соответствующий программный интерфейс.

Из улучшений в области поддержки аппаратных средств защиты отметим механизмы определения переполнения «кучи» (области памяти, выделяемой программе для динамически размещаемых структур данных), позволяющие операционной системе немедленно завершить приложение, в котором произошло переполнение. Переполнение «кучи» нередко применяется вредоносным кодом. Определение переполнения «кучи» может быть использовано и независимыми разработчиками — эта функциональность поддерживается в Windows API.

В дополнение к вышеперечисленным технологиям поддержки аппаратных средств защиты 64-разрядные версии Windows Vista поддерживают технологию защиты ядра операционной системы PatchGuard, запрещающую внесение изменений в ядро операционной системы (а именно в таблицы системных вызовов, прерываний, глобальных дескрипторов). Отметим, что в предыдущих версиях Windows технологии модификации ядра ОС применялись некоторыми независимыми производителями ПО и соответственно могли использоваться и авторами вредоносного кода. Согласно заявлению Microsoft, отключить систему защиты ядра невозможно — кроме официальных обновлений самой Microsoft, вносить изменения в ядро ОС не может никакое программное обеспечение. Впрочем, в 32-разрядных версиях Wndows Vista защиты ядра нет.

Защита драйверов

Механизм проверки цифровой подписи драйверов присутствует во всех версиях Windows, начиная с Windows 2000. Однако реально средства запрета установки драйверов, не имеющих цифровой подписи, не применялись ни пользователями, ни системными администраторами — ведь неподписанных драйверов, не содержащих вредоносного кода, существует великое множество.

Теперь же все драйверы, предназначенные для 64-разрядных версий Windows Vista, должны иметь цифровую подпись — в противном случае они просто не будут загружены. Это позволит предотвратить ряд атак, основанных на модификации или имитации драйверов. Отметим, что данная мера даст возможность повысить не только защищенность, но и надежность операционной системы, позволяя идентифицировать источник ее сбоев. Впрочем, в некоторых случаях это может усложнить поиск или написание нужного драйвера.

Защита от атак на системные службы

Системные службы, выполняемые с самыми высокими привилегиями, являются излюбленной мишенью для атак, поскольку скомпрометированная системная служба может позволить исполнить произвольный код с административными полномочиями. Поэтому защита от атак на системные службы (Windows Service Hardening) является очень важной составляющей защиты операционной системы.

Для снижения вероятности успешных атак на системные службы в Windows Vista реализована концепция restricted services, заключающаяся в загрузке системных служб с минимальными привилегиями. Данный подход позволяет существенно сократить число служб, способных нанести серьезный вред операционной системе. Кроме того, можно однозначно идентифицировать системные службы, вести списки контроля доступа для каждой службы к реестру, файловой системе, сетевым портам или к другим системным ресурсам и предотвращать их изменение скомпрометированными службами. Более того, каждая служба имеет свой заранее сконфигурированный профиль, который учитывает требования безопасности и применяется при установке операционной системы, что позволяет упростить процесс первоначального конфигурирования служб.

Отметим, что персональный межсетевой экран Windows Firewall в Windows Vista тоже использует защиту от атак на системные службы. Так, он блокирует попытки обращения системных служб к сетевым портам и к другим ресурсам, которые запрещено применять данной службе.

Управление пользовательскими учетными записями

Наличие избыточных привилегий у пользовательских учетных записей (например, принадлежность к локальной группе Administrator собственного компьютера) считается одной из самых серьезных угроз безопасности в Windows XP. Предоставление пользователям административных привилегий нередко было вынужденной мерой, необходимой для нормальной повседневной работы пользователей. Однако подобный подход снижал степень защищенности компьютера, позволяя выполняться с административными привилегиями не только системным утилитам и бизнес-приложениям, но и вредоносному коду, который, в свою очередь, мог вносить изменения в конфигурацию компьютера или отключать брандмауэр. Кроме того, вероятность ошибок пользователей, усложняющих сопровождение рабочих станций и сетей, тоже была довольно велика. Отметим, что доступная в прежних версиях Windows возможность создания учетных записей с ограниченными правами на практике использовалась редко, так как она усложняла работу и пользователю, и системному администратору — ведь любая простейшая манипуляция наподобие установки драйвера принтера требовала административных привилегий.

Для решения этой проблемы в Windows Vista применяется технология управления учетными записями пользователей (User Account Control, UAC). В ее основе лежит деление манипуляций с настройками операционной системы на доступные пользователю со стандартными правами (то есть не создающие непосредственной угрозы безопасности компьютера и сети) и требующие административных привилегий. К первой группе относятся такие функции, как изменение настроек управления питанием, добавление устройств, драйверы которых уже установлены в операционной системе, изменение настроек экрана, добавление шрифтов, создание VPN-соединений и соединений с беспроводными сетями, установка UAC-совместимых обновлений ПО, — то есть функции, повседневно применяемые пользователями. Ко второй группе принадлежат задачи, требующие административных привилегий, такие как установка новых приложений, изменение системных настроек, добавление новых драйверов устройств. Когда пользователь пытается выполнить подобную задачу, ему предлагается ввести пароль администратора.
Пользователи с административными привилегиями могут работать в режиме ограничения доступа к критичным ресурсам и функциям системы до тех пор, пока этот доступ им реально не потребуется.

Для обеспечения совместимости с уже существующими приложениями технология User Account Control позволяет приложениям, созданным для прежних версий Windows и требующим административных привилегий, выполняться с правами стандартного пользователя за счет предоставления для них механизма виртуализации файловой системы и реестра. Данный механизм перенаправляет запросы чтения и записи из защищенных областей памяти и реестра в выделенную область внутри профиля пользователя, не влияя ни на настройки и данные других пользователей, ни на конфигурацию операционной системы.

Хотя подобный механизм и исключает доступ приложений к критически важным ресурсам, компания Microsoft рекомендует использовать его только как временный выход из ситуации, до момента создания новых версий подобных приложений, не требующих административных привилегий и поддерживающих UAC. С этой целью компания Microsoft предлагает независимым разработчикам ряд инструментов, технологий и ресурсов для упрощения создания UAC-совместимых приложений, например средств тестирования приложений на совместимость с UAC.

Защита от вредоносного кода и компьютерных атак — Windows Defender

Windows Defender — это новый компонент операционной системы. Он предназначен для защиты от некоторых категорий вредоносного ПО, таких как руткиты, шпионское ПО и перехватчики клавиатурного ввода. Принцип его работы основан на наблюдении за списком автозагрузки, настройками безопасности операционной системы и браузера Internet Explorer, расширениями браузера и загружаемым браузером кодом (таким, как элементы управления ActiveX), службами, драйверами, регистрацией приложений с целью загрузки и утилитами администрирования. Windows Defender позволяет снизить риск загрузки вредоносного ПО вместе с операционной системой и исполнения вредоносного кода, маскирующегося под расширения браузера, утилиты администрирования или системные службы, а также запретить изменение настроек безопасности неавторизованными пользователями.

Центр безопасности Windows (Windows Security Center)

Центр безопасности Windows (Windows Security Center, WSC) — доступный и в предыдущих версиях Windows (он появился в пакете обновлений Windows XP Service Pack 2)  компонент операционной системы, постоянно проверяющий состояние межсетевого экрана, антивирусного ПО и обновлений ОС. В Windows Vista он претерпел ряд изменений. Так, в дополнение к имевшейся ранее функциональности, WSC отслеживает состояние антишпионского ПО, настроек защиты Internet Explorer и UAC, а также состояние защитного ПО независимых производителей и уведомляет пользователя о необходимости установки обновлений.

Изменения в межсетевом экране

Начиная с версии Windows XP Service Pack 2 межсетевой экран Windows Firewall включен по умолчанию. Однако если в Windows XP Service Pack 2 он фильтровал входящий трафик, то в Windows Vista фильтрует и исходящий, а также отслеживает и запрещает непредсказуемое поведение системных служб и приложений, например попытку отослать данные через не предназначенный для данного приложения сетевой порт.

Заключение

Несомненно, со временем появятся новые вредоносные программы, написанные специально для Windows Vista и одних только настроек по умолчанию будет недостаточно для эффективной защиты компьютера. Пользователь должен самостоятельно позаботиться о безопасности своего компьютера, установив хороший антивирус и межсетевой экран независимо от того какая операционная система установлена на его компьютере. Однако не следует пренебрегать и теми средствами защиты, которые предоставляет в Ваше распоряжение сама операционная система. А Windows Vista, несомненно более защищена, чем Windows XP.