Na následujících řádcích si popíšeme novinky v připravovaných Windows 7, a to zaměřeno na novinky v oblasti bezpečnosti. Předesílám, že všechny novinky jsou z pohledu sestavení 7000, tedy Windows 7 Beta, která je v době psaní článku jediným oficiálním veřejným sestavením.
Novinek je v případě Windows 7 více, něktreré čistě dílčí, některé zcela nové. O většině z nich jsme již psali v separátních článcích, ale pojďme si je shrnout ještě jednou “na hromadu”.
Byť se to tak nemusí na první pohled zdát, Action Center ve Windows 7 je novinkou i z pohledu bezpečnosti. Historicky se jedná o náhradu za tzv. Security Center, které nás provázelo ve Windows XP SP2 či Windows Vista. V jednom okně jsou k dispozici informace, jestli Vaše nastavení odpovídá standardům. Toto je z pohledu uživatele velice důležité a ve výsledku přispívá k větší obezřetnosti. Action Center mimo jiné monitoruje stavy:¨
Z tohoto výčtu je vidět, že oproti Centru Zabezpečení jak jej známe z předešlých verzí Windows se rozšířil počet oblastí, které nově Action Center sleduje. Pokud je něco v nepořádku, uživatel dostává zprávu z oznamovací oblasti s možnostíé chybu okamžitě napravit.
Popřípadě otevřít Action Center a nesprávné nastavení opravit odsud.
Jedna z nejvíce diskutovaných funkcí Windows Vista – Řízení uživatelských účtů doznala výrazných změn ve flexibilitě. Co UAC vlastně dělá? Tuto funkci přinesly, jak již bylo zmíněno, Windows Vista a v důsledku zajišťuje, že ani uživatel s přiřazenými právy administrátora nepracuje s nativně povýšenými právy nýbrž stále s právy standardního uživatele. Až v momentě, kdy práce uživatele vyžaduje změnu z pohledu operačního systému (instalace/odinstalace software, změna nastavení sítě, start systémových komponent atd.) se objeví dialogové okno s možnosti pro konkrétní aplikaci/okno povýšit práva na úroveň administrátora. Tím se Microsoft snaží omezit využívání nejvyšších oprávnění na nezbytnou činnost. Ruku v ruce s tím je zapnuta virtualizace registrů a systémových složek. To zajišťuje, aby programy nepracovaly a neukládaly např. dočasné soubory do C:\Program Files, ale tam kam patří – do profilu uživatele.
Windows 7 přináší hlavně více flexibility v nastavení, protože nyní dávají na výběr, jak se funkce řízení uživatelských účtů bude chovat. Pro správné pochopení - Windows 7 odlišují práci uživatele vůči systémovým komponentám OS a vůči software. Na výběr je ze čtyř možností:
Ve výchozím nastavení je pro členy skupiny uživatelů UAC nastaveno na „vždy upozornit“ a pro administrátory „Upozornit jen když se program snaží zasáhnout do OS“. Díky této možnosti jednoduchého výběru klesly požadavky na interakci uživatele o subjektivních 60-80%. Když se objeví hláška o povýšení práv, už se nad ní opravdu pozastavíte.
Mnoho společností dnes řeší bezpečnost dat a hlavně, jak zabezpečit přenosná zařízení, která jsou rizikovou skupinou, neb se ze své podstaty často vyskytují mimo bezpečné prostory společnosti. Microsoft uvedl ve Windows Vista nástroj pro šifrování interních disků – Bitlocker. Ale to byl jen první krok. Je jasné, že stejně jako např. notebooky jsou velmi rizikovými zařízeními tzv. flash disky. Zde je ovšem problém nejen ve faktu, že jsou přenositelné, ale že jejich cena klesla na takové minimum, kdy se z nich stalo klasické spotřební zboží. Uživatel pak nedbá patřičné pozornosti, aby „flešku“ neztratil. Bohužel. Společnost Microsoft se proto rozhodla do nadcházejícího operačního systému Windows 7 přidat funkci Bitlocker To Go, která je přímo určena pro přenosné disky. Správci sítí tak dostávají nástroj, který jim nabídne například pohodlnou centrální správu, jednoduché a intuitivní ovládání, ale hlavně dobrý pocit, že další rizikové místo je zabezpečeno. Bitlocker To Go je zatím součástí edic Windows 7 Ultimate a Enterprise. Vše se ale může ještě změnit, přeci jen jsme ve stádiu Beta.
A jak na to?
Připojíte flash disk a přejdete v Ovládacích panelech do správy funkce Bitlocker, kde už uvidíte inicializované disky připravené pro zapnutí funkce Bitlocker nebo Bitlocker To Go.
Po klepnutí na „Turn On Bitlocker“ v sekci BitLocker Drive Encryption – Bitlocker To Go se spustí průvodce, který s vámi projde zašifrování Vašeho přenosného disku. Po inicializaci disku se Vás průvodce dotazuje na způsob ověřování vůči zašifrovanému disku. Na výběr máte z možností „ověřování heslem“ nebo „ověřování smart kartou“. Následující dialog už je jen způsob uchování klíče pro obnovení. Na výběr je tištěná podoba, nebo uložení jako soubor .txt (nebo obojí :)). Následuje souhrn všech zvolených možností a vlastní zahájení enkrypce zvoleného přenosného disku.
Doba trvání celé procesu je závislá na zaplnění media respektive volném místě. Pokud jsou na výměném médiu vadné sektory, je samotný proces kryptování pozastaven a je nutno disk zpět dekryptovat. Se samotným šifrováním je pak na šifrovaný disk nahrána aplikace BitLocker To Go Reader, který slouží k práci se soubory na systémech Windows XP a Windows Vista. Práce se šifrovaným diskem přímo přes Windows Explorer je zatím možná jen ve Windows 7 Beta. Zde ovšem zdůrazňuji zatím. Správci sítí dále ocení cetrální správu přes Group Policy, spolupráci AD DS nebo s firemní certifikační autoritou.
Možnosti konfigurace přes Group Policy:
Zde měla původně následovat kapitola o AppLockeru, nicméně o něm psal už KFL v předchozím postu, čili ho z tohoto článku vynechám.
- Jan Pilař (KPCS CZ, WUG Písek)