Microsoft: Vista открыла путь для защищенных Windows

Несмотря на (даже руководители Microsoft), ОС Vista способствовала окончательному выводу в мир безопасной версии Windows, по крайней мере, если на этой неделе в Вашингтоне состоится презентация эксперта по безопасности Microsoft на Симпозиуме по безопасности Usenix, DC

И это была самая ненавистная функция Vista - User Access Control (UAC) - которая может взять кредит.

Это были все пользователи, жалующиеся на раздражающие посты UAC, которые, наконец, побудили многих разработчиков приложений переписать их программы, объяснил Криспин Коуэн, старший менеджер программ Microsoft для группы безопасности Windows.

Эти программы были переписаны, чтобы они не требовали полных административных прав, в свою очередь, разрезать do wn на ящиках UAC и позволил пользователям постепенно более комфортно работать в более ограниченных, но безопасных режимах пользователя.

«Цель UAC заключалась в том, чтобы отменить приложения от использования административных привилегий. Его задача состояла в том, чтобы отшлепать программы, в которых использовался администратор, которому это не нужно », - сказал Коуэн.

UAC, по сути, вызвал« массовое прореживание населения плохо организованных программ Windows », - сказал он. Количество программ, требующих прав администратора, резко сократилось ».

Обсуждение Cowan было расширенным аргументом в пользу того, почему Windows 7 столь же безопасна, как и Unix-варианты, такие как Linux. И этот контроль безопасности возник, по его мнению, во многом благодаря к тому, что Windows Vista стала первой настольной версией Windows, а не по умолчанию предоставила каждой учетной записи пользователя полные административные привилегии.

Репутация Windows для паршивой безопасности была полностью заслуженной, признал Коуэн. Даже сегодня наиболее широко используемая версия Windows - это Windows XP, которая была построена в 2001 году и не имеет большинства требований безопасности, необходимых для сегодняшних сред (хотя Service Pack 2 добавил множество функций безопасности, сказал он).

Ранние версии ОС Windows подчеркнули удобство использования по безопасности, а также взаимодействие сказал Кроуэн. В результате Windows разрешила каждому пользователю полный контроль над машиной, фактически предоставив каждой учетной записи пользователя полный административный контроль над машиной.

«Если вы работаете как администратор, безопасность довольно безнадежна», - сказал он. Незапланированные права администратора - это то, что позволило вредоносным программам и вирусам взять под контроль компьютеры.

Начиная с 2002 года Microsoft приступила к обеспечению безопасности как неотъемлемой части разработки программного обеспечения. В результате в следующей версии Windows Vista появилась полное разделение между тем, что пользователь может делать на машине и что может сделать администратор, разделение, которое всегда применялось в дистрибутивах Unix.

Это разделение, принудительно установленный UAC, ограничивает ущерб, который пользователь может сделать для машины.

UAC можно рассматривать как эквивалент Windows для команды Unix sudo, пояснил Коуэн. Sudo позволяет пользователю выполнять задачи с привилегиями только после предоставления администратора или пароля root. Некоторые дистрибутивы Linux, такие как Ubuntu, уходят, по крайней мере, из коробки, с корневыми учетными записями в целом, полностью полагаясь на sudo.

Однако многие пользователи испортили использование UAC. Каждый раз, когда программе требуются полные права администратора для запуска, на экране появляется окно UAC, запрашивающее у пользователя разрешение.

Досада UAC действительно оказалась полезной в долгосрочной перспективе, пояснил Коуэн, потому что она уменьшило количество приложений, требующих административных прав.

Во многих случаях программам вообще не нужны административные разрешения. Многие программы Windows были разработаны для записи своих данных конфигурации в системный реестр, когда это можно было так же легко хранить в папках пользователя.

Со временем разработчики приложений получили сообщение от всех жалоб пользователей. Используя анонимные данные телеметрии, Microsoft подсчитала, что количество приложений Windows, требующих доступа пользователей, сократилось примерно с 900 000 до 180 000.

В то время как Vista получило плохую репутацию для враждебности пользователей, Windows 7 сделала UAC более удобным для пользователя, не нарушая строгого разделения между пользователем и администратором. Эта ОС предложила авто-возвышение, в котором ограниченное число предварительно одобренных программ Microsoft могло получить административный доступ без раздражающих пользовательских запросов. Он предлагает скользящую шкалу UAC, поэтому пользователи могут выбрать уровень ограничения для своих приложений. Windows 7 также установила виртуальные учетные записи, чтобы отдельные приложения могли получать свои собственные учетные записи пользователей, сказал Коуэн.

После разговора один из членов аудитории сказал, что он согласен с тем, что UAC, вероятно, побуждал производителей приложений переписывать свои программы, но задавался вопросом, действительно ли это было Цель Microsoft в первую очередь, учитывая количество неудовлетворенности пользователя, которое оно вызвало. Сам Коуэн признался в обсуждении безопасности браузера: «Запросы не являются чисто злыми. Запросы, в которых ответ почти всегда« да », являются злыми».

UAC был одним из множества функций, которые, по словам Коуэна, привели Windows к паритету безопасности с Unix. Другие функции включают встроенный брандмауэр и подписание 64-битных драйверов ядра. В некоторых случаях он утверждал, что Windows теперь имеет функции безопасности, которые даже не встречаются в большинстве дистрибутивов Unix, таких как защита доступа к сети, рандомизация адреса памяти и предотвращение выполнения данных.

«У Unix был очень большой лидер безопасности. С тех пор Microsoft закрыла пробел на каждом фронте, а в некоторых случаях превысила уровень безопасности Unix », - сказал Коуэн.

Joab Jackson рассматривает корпоративное программное обеспечение и общую технологию для новостей Служба новостей IDG. Следуйте за Joab в Twitter на @Joab_Jackson. Адрес электронной почты Joab - [email protected]