In Vista securitas!

2. Tűzfal és Defender
1. UAC 2. Tűzfal és Defender 3. A BitLocker és a patchek
Írta: Krasznay Endre
2007-09-17 19:00

Tűzfal és Defender

Sok kritika érte régebben a Windows XP tűzfalát, de a második javítócsomag óta látványos módosulások történtek – bár a kifelé irányuló adatforgalmat továbbra sem figyeli. Hogy van ez a Vistánál? A másik kérdés pedig az: rá lehet-e bízni az átlagfelhasználóra a döntési jogot: blokkoljon vagy beengedjen egy alkalmazást? Miért nem lehet ezt automatikusan kezelni?

Az első kérdésre a válasz: igen. A Vista tűzfala már egy kétirányú tűzfal. A hálózatkezelés a Windows NT4 óta nem látott újításokon ment át a Vista esetében, gyakorlatilag újra lett írva. Ennek elnevezése: Next Generation TCP/IP stack, amely lehetőséget biztosított arra, hogy az oly fontos hálózati kezelés architektúráját a modernkor követelményei szerint alakítsuk ki. A Vista esetében ez sok újdonságot jelent a hálózat teljesítmény-kihasználtsága, a protokollok támogatása szempontjából. A Vista natívan támogatja az IPv6-ot, amely szerves része az NG TCP/IP stacknek. Az új generációs hálózatkezelés tervezésénél – mint a Vista többi részének tervezésénél is – természetesen kiemelt szempontot kapott a biztonság. Vista esetében az IPSec és tűzfalfunkciók szervesen integrálódnak a hálózatkezelési modulokkal. Ez egy sokkal egyszerűbben konfigurálható és több szolgáltatást nyújtó tűzfal kialakítását tette lehetővé a Vista esetében.

A második két kérdés szerintünk nem is kérdés. A végső döntés a számítógép tulajdonosáé kell hogy legyen. Egy alkalmazás kommunikációjának szükségességét vagy tiltását a számítógép tulajdonosa, jogos használója döntheti el, az operációs rendszernek pedig meg kell adnia minden információt a döntés meghozatalához – esetlegesen javaslatot tehet még. Sem az operációs rendszer, sem más védelmi mechanizmus nem csorbíthatja a számítógép-tulajdonos jogát abban, hogy a saját számítógépén milyen jellegű kommunikációkat folytathasson. Csak egy példa: vegyünk egy olyan alkalmazást, amely mondjuk a képernyőképet továbbítja egy másik számítógép felé. Ez lehet egy támadó jellegű hálózati forgalom, de lehet, hogy csak egy baráttól való segítségkérés módja, és ezt a kérdést az operációs rendszer nem fogja tudni eldönteni. Vállalati környezetben természetesen más a helyzet, mint az otthoni környezetben. Vállalati környezetben a számítógép tulajdonosa a vállalat, akinek joga van korlátoznia, hogy a számítógépet használók milyen kommunikációt folytathatnak. A Vista természetesen erre is nyújt megoldást a központilag kialakítható csoportházirendek (Group Policy) segítségével. A Vista-tűzfal – mint az operációs rendszer minden más komponense is – központilag szabályozható, így is egyszerűsítve a vállalati rendszergazdák dolgát.

Az ASLR (Address Space Layout Randomization) viszonylag későn, a Beta 2 verzióban került be először a rendszerbe, de annyira hatékony védelemnek bizonyult, hogy végül szerves részévé vált a Windows memóriakezelésnek, így most már nem is lehet kikapcsolni, és természetesen engedélyezni sem kell – a háttérben észrevétlenül teszi a dolgát. Mi a lényege ennek a kevésbé ismert eljárásnak?

Röviden válaszolva, az elv egyszerű. A korábbi Windows-verziók memóriakezelése esetén a futtatható állományok és DLL-ek fix memóriacímekre töltődtek be. A buffer-túlcsordulásos támadások gyakran építettek arra, hogy a rendszerfunkciók ismert memóriacímeken helyezkednek el. A Vista a modulokat a 256 véletlen pont egyikére tölti be. Így nehezíti meg, hogy adott memóriaterület címzésével lehessen elérni a támadásra kiszemelt funkciókat.

A Windows Defender segítségével megszabadulhatunk a gépünkön lévő kártevőktől (kivéve a vírusoktól), főleg a kémprogramoktól. A Defender folyamatosan figyeli az automatikusan induló, valamint az éppen futó alkalmazásokat, a hálózati adatokat is átvizsgálja, a gyanús elemeket pedig letiltja. Állandóan frissülő adatbázisa van. Milyen módszerrel gyűjti össze a spyware-forrásokat a Microsoft? Honnan szerzi be ezeket az információkat?

Ma már a Microsoft is rendelkezik több, kártékony programok elleni védekezésre szolgáló megoldással. Ilyen a Malicous Software Removal Tool, a Sybari felvásárlásából származó Forefront for Exchange és Sharepoint termékek, a Forefront Client Security, a OneCare a LiveSafety Center és a Windows Defender is. Ezek közt vannak, amelyek víruseltávolítást is végeznek. Az ezen alkalmazások felismerőképességéhez szükséges szignatúrákat a Microsofton belül egy közös szervezet készíti – kivétel természetesen a Forefront For Exchange/Sharepoint 3rd party motorjai.

A kártékony kódok detektálása egyrészt az internetes forgalmak folyamatos vizsgálatával történik. Ennek sokféle módja van. Ilyenek a kihelyezett mérőgépek használata különböző OS-verziókkal és patch-szintekkel, a Microsoft Hosted Exchange szolgáltatáson átmenő forgalmak elemzése, a Windows Live Mail – korábbi Hotmail – forgalmának elemzése, valamint a saját vállalati infrastruktúránk külső és belső forgalmainak elemzése. Ezeken felül a manuális vagy a SpyNeten történő felhasználói bejelentések is szolgálnak információforrásként.

A Vistában a gyerekeikért aggódóknak egy fontos újdonság a Szülői felügyelet nevű szolgáltatás. Beállíthatjuk, hogy gyermekünk mikor használhatja a számítógépet, szűrhetjük a káros weboldalak tartalmát. Hogyan történik a tiltások beállítása? Mit lehet beállításokkal konkrétan kizárni, történik-e valamilyen naplózás az eseményekről?

A Szülői felügyelet használatának a feltétele a már említett UAC engedélyezése, majd pedig hogy a gyermek számára létrehozzunk egy standard felhasználói jogokkal rendelkező fiókot. Engedélyezése esetén az adminisztrátori jogosultságú szülői felhasználói fiók birtokában meghatározható, hogy az Internet Explorerben milyen tartalom-besorolásoknak megfelelő oldalakat jeleníthet csak meg az adott „gyerek-fiók”, vagyis a gyermek milyen jellegű tartalmakhoz férhet hozzá. Ezen felül meghatározható az is, mely kategóriába sorolható játékprogramokat használhatják. Amennyiben a játék nem képes magáról besorolási információt adni, vagy nem játékszoftverről van szó, úgy lehetőség van az alkalmazásszintű engedélyezés és tiltás beállítására is. A gyerekek számára beállítható az is, hogy milyen időszakban használhatják a számítógépet. Az engedélyezett idő lejártakor természetesen figyelmeztetéssel jelzi a Vista a játékidő végét. Amennyiben elérkezett az engedélyezett használati idő vége, akkor a Vista visszalép a bejelentkezési képernyőre (futva hagyva a gyermek alkalmazásait). A szülői felügyelet használatával beállítható még naplózás is, ennek segítségével monitorozható, hogy a gyermek milyen alkalmazásokat használ, milyen weboldalakat látogat, stb.

A cikk még nem ért véget, kérlek, lapozz!

Kapcsolódó cégek:
Microsoft

Azóta történt

Mi nem lesz a Windows 7?

Az utóbbi időben egyre nagyobb a zűrzavar a fejekben az új Windowst illetően. Öntsünk tiszta vizet a pohárba!

Szoftver 2008-04-15 220
Kórház a lemez szélén

Kevesen tudják, hogy ez a NOD rövidítés feloldása. Miért ilyen népszerű itthon a szlovák vírusirtó? Interjú a hazai forgalmazó vírusszakértőjével, Kiss Zoltánnal.

Szoftver 2008-08-18 28

Előzmények

Nagy siker az Office, nem úgy a Vista

Az irodai csomag jó teljesítményéért a Mac-használók is felelősek.

Szoftver 2007-09-13 4
A Microsoft pályázatot hirdet gadgetek fejlesztésére

A Google után a Microsoft is inspirálja a felhasználókat.

Szoftver 2007-09-05 5
Rendkívüli Windows-javítások most, Vista SP1 jövőre

Heteken belül elkezdődik az SP1 tesztje.

Szoftver 2007-08-30 2
Újra lesz Hacktivity Budapesten

Az egykori hackerfórum mára komoly informatikai konferenciává nőtte ki magát: „Tudd, hogy mi ellen kell védekezni!”

Biztonság 2007-07-16 14