Читайте 1-ю часть здесь.

Безопасность

Windows 7 предоставляет несколько новых опций безопасности, однако для большинства пользователей базовые средства защиты в грядущей ОС окажутся хуже, чем в Vista.

Наиболее замечательные функции безопасности – технология «белых списков» для приложений и шифрование в полном объеме встроенных дисков и съемных приводов – не включены в версии Professional и Home Premium, которые наиболее популярны среди домашних пользователей и в корпоративном секторе. Кроме того, в качестве реакции на протесты пользователей, в Windows 7 разработчики Microsoft снизили степень защиты, которая активно применялась в Vista.

Управление пользовательскими учетными записями (User Account Controls или UAC) очевидно было наиболее неприятной функцией Windows Vista. Пользователям приходилось подтверждать каждое изменение в системе, включая установку приложений, инсталляцию заплат и доступ к системным средствам, таким как Computer Management или настройка сетевого адаптера.

Однако на то была веская причина. Дело в том, в Vista пользователь не работает все время как администратор (даже если он вошел в систему под учетной записью администратора и имеет администраторские права). Когда в системе производится действие уровня администратора, запрос UAC повышает права пользователя до уровня администратора, но лишь для того, чтобы выполнить эту задачу.

Функция UAC все так же присутствует в Windows 7, однако она сильно видоизменена с целью сделать запросы и подтверждения системы не настолько «надоедливыми» для пользователей и администраторов. Новая операционная система предлагает уровни применения UAC, представленные в панели настроек, которые можно регулировать с помощью слайдера. Таким образом, пользователь может легко выбрать один из четырех уровней принудительной защиты.

При выборе самого строгого уровня защита будет срабатывать так же, как в Windows Vista. То есть, система всегда будет сообщать пользователю, что произведены изменения в системных установках, или что инсталлированные приложения пытаются получить доступ к запрещенным частям файловой системы.

Однако по умолчанию в Windows 7 используется менее строгий уровень защиты, при котором системные сообщения генерируются только в том случае, если изменения в системе пытаются произвести приложения, но не когда это делает пользователь. Чтобы ощутить на себе разницу в первом и втором случае, откройте инструмент Computer Management. В строгом режиме пользователь обязан подтверждать (или одобрять) даже просмотр панели, в то время как в режиме по умолчанию пользователь-администратор может начинать работу и производить изменения.

Третий режим похож на устанавливаемый по умолчанию, но не требует применения Secure Desktop – это изолированный интерфейс, который в других обстоятельствах показывается пользователю, и никакая программа не может осуществить несанкционированное вмешательство. Между тем, четвертый режим никогда не оповещает пользователя и не спрашивает подтверждения. Этот режим рекомендован для применения только в том случае, когда получение доступа к программе известно администратору, находящемуся в компетенции UAC.

Вообще с моей точки зрения, новые параметры – включая режим по умолчанию – служат для того, чтобы ослабить средства защиты, которые предоставляет UAC. Возможно, это гарантирует более комфортные условия работы, но на всякий случай я установил уровень UAC на своей машине с Windows 7 на максимум, как это было в Vista.

Интересное дополнение к UAC доступно заказчикам Windows 7 Ultimate и Enterprise. Функция под названием AppLocker (это наследие XP и Software Restrictions Policies Vista) позволяет применять технологию «белых списков» для приложений. Фактически это специализированная авторизация для определения ПО, которое можно запускать на компьютере. Пользователь или администратор определяет политику, в соответствие с которой можно выполнять только санкционированные приложения, все остальные (вредоносные программы или просто неподтвержденный код) не смогут начать работу.

Контроль с помощью политик AppLocker не выходит за рамки хорошо знакомой архитектуры Microsoft Group Policy. Используя редактор Group Policy, можно видеть существующие политики, создавать новые и решать, усиливать ли политику или просто осуществлять контроль с целью выяснить, пользовался ли кто-либо приложениями, которые могли нарушить защиту.

В соответствии с принципами работы AppLocker, существуют три категории исполняемого кода (запускаемые в окне Windows, инсталляторы Windows и скрипты), и каждая программа должна быть сконфигурирована отдельно. Так, можно было выбрать усиленный режим для одной категории и только аудит — для другой.

Приложения могут быть подтверждены несколькими способами. Для детальной идентификации приложения я мог задать политику на базе hash-данных (это лучший способ для несертифицированных приложений), на базе подписи издателя приложения (для подписанных приложений) или на основе точного пути исполняемого файла, будь то именно название файла или папка

В Windows 7 легко начать работу, поскольку редактор Group Policy содержит несколько простых методов для генерации правил. Фактически стандартные правила можно сформировать одним щелчком мыши, например, разрешив всем пользователям запускать программы, расположенные в папках Windows и Program Files, и позволив локальным администраторам запускать все файлы без исключения.

Вообще, такой сценарий удачно дополняет UAC и работу на компьютере с наименьшим уровнем привилегий. Если AppLocker означает ограничение прав, то есть пользователь может запускать лишь программы, которые находятся в разрешенных папках, то жесткое применение UAC препятствует записи в эти папки. Таким образом, данные средства защиты очень осложняют применение социальной инженерии, когда можно обманом заставить кого-либо ошибочно инсталлировать вредоносный или нежелательный код.

Для более детального контроля администраторы могут автоматически формировать правила. Например, я мог задать папку (такую как Program Files) и мастер идентифицировал весь исполняемый контент соответствующего типа. Далее я мог ограничивать диапазон политики, разрешая запуск файлов только с цифровой подписью.

Возможная проблема, связанная с применением AppLocker, состоит в том, что программа требует запуска специальной службы — Application Identity. Прежде всего, пользователь должен убедиться, что сервис стартует автоматически, далее необходимо проверить, что сервис продолжает работать. Если вышеописанная служба не запущена, то система никак не сообщает об этом, что ослабляет защиту.

В Windows 7 появились функции шифрования данных на съемном диске, но только в наиболее дорогих версиях -- Ultimate и Enterprise. Сервисная программа под названием BitLocker To Go записывает программу для шифрования и управления ключами на USB-приводе, что позволяет легко и просто обеспечить общий доступ к защищенным данным в других ПК с Windows 7. Пользователям необходимо только ввести пароль, который они установили, когда впервые зашифровали привод.

К приводам, защищенным с помощью BitLocker To Go, можно получить доступ и в более старых версиях Windows, поскольку утилита содержит собственный считыватель на USB-накопителе. Если привод подключен к системе с Windows XP или Vista, то пользователь видит программу-считыватель. С другой стороны, если привод вставлен в Mac, вы увидите дюжину файлов, но не можете получить доступ к защищенному контенту или манипулировать этими файлами.

Подобно Vista, системы Windows 7 Enterprise и Ultimate поставляются с полным шифрованием диска. Однако в Windows 7 утилита BitLocker несколько проще в использовании. Иными словами, Vista требовала планирования для BitLocker прямо во время установки ОС, так как был необходим отдельный загрузочный раздел. Windows 7 создает загрузочный раздел автоматически и сокращает его (до 100 МБ в Windows 7 в сравнении с 1,5 ГБ в Vista). Это позволяет пользователям добавлять полное шифрование диска значительно позже первоначальной установки без каких-либо сложностей.

По умолчанию, BitLocker требует, чтобы компьютер имел встроенный чип ТРМ (Trusted Platform Module) для хранения ключей шифрования. Пользователи без ТРМ-чипа могут применять вместо этого USB-драйв, но это повлечет за собой некоторые изменения в Групповой политике (Group Policy).

Я тестировал BitLocker на Lenovo T60p, используя ТРМ- чип этого лэптопа, а также на Dell XPS M1330, используя USB-привод для ключа. В зависимости от размера жесткого диска и количества данных, требующих защиты, шифрование может занять несколько часов. Понадобилось около часа, чтобы защитить тестовую машину, почти не содержащую данных, и более трех часов для шифрования наполовину заполненного 80-гигабайтного диска. К счастью, процесс шифрования может быть остановлен на середине для перезагрузки системы и возобновлен после следующей загрузки.

Я обнаружил одну деталь: пользователи, запускающие Windows7 в виртуальной машине, будут иметь проблемы с шифрованием диска посредством BitLocker (Мне пришлось с этим столкнуться на VMWare Workstation 6.5). Точнее говоря, гипервизор не виртуализирует чип ТРМ, а ОС не распознает своевременно USB-привод в процессе загрузки, соответственно BitLocker не работает. Поэтому тем, кто хочет защитить данные в рамках виртуальной машины на Windows 7, следует по возможности обратить внимание на шифрование файлов или папок вместо защиты полного диска.

В Windows 7 администраторам больше не придется загружаться с какого-либо носителя, чтобы восстановить поврежденные копии Windows, так как новая ОС имеет Recovery Console, которая доступна посредством нажатия F8 при загрузке.

Во время тестирования оказалось, что набор опций восстановления значительно отличается для администраторов и пользователей с ограниченными правами. Последний может задать диагностическое сканирование под названием StartUp Repair, в процессе которого проверяется файловая система, жесткий диск и системный реестр, после чего пользователю может быть предложено восстановление до состояния последней контрольной точки System Restore.

А вот локальным администраторам предоставляется несколько вариантов. Они могут задать автоматическое исправление всех ошибок, которые были найдены при сканировании с помощью утилиты StartUp Repair, выбрать любую из имеющихся контрольных точек System Restore, выполнить восстановление системы из образа (Image Recovery), запустить диагностику памяти или получать доступ к командной строке.

Командная строка является основной причиной некорректности, которая я обнаружил, обладая правами для Recovery Console. Во время тестирования оказалось, что я могу зайти в консоль как локальный администратор по умолчанию, но лишь тогда, когда не присутствуют другие учетные записи локальных администраторов. Проблема заключается в том, что по умолчанию учетная запись локального администратора не имеет пароля. Это не является проблемой в стандартной версии Windows, поскольку такая учетная запись по умолчанию отключена, однако в похожих специфических случаях учетная запись внезапно активируется.

Благодаря доступу, предоставленному через заблокированную, не имеющую пароля запись администратора, я обнаружил, что мог легко получить доступ к командной строке и копировать любые данные с главного раздела на USB-привод.

Тестирование производительности

Windows Vista больше всего критиковали за то, что она неумеренно потребляла ресурсы. Хотя с выпуском Service Packs 1 и 2 потребление ресурсов чуть уменьшилось, тем не менее, складывалось впечатление, что эта операционная система использовала слишком много оперативной памяти, очень долго запускалась и (особенно) долго выключалась.

Чтобы узнать, что изменилось в Windows 7 с точки зрения производительности, я запустил серию эталонных тестов для 32-битных и 64-битных редакций Windows 7 и Vista, используя лэптоп Dell и систему на базе Phenom II, описанные ранее в этой статье.

В каждой установке Windows 7 и Windows Vista я полагался исключительно на драйверы, которые поставлялись в комплекте с дисками-дистрибутивами этой операционной системы или на обновления от Microsoft. Единственным исключением стали драйверы для видеоадаптеров на обеих машинах, полученные от Dell и ati.adm.com. Во всем остальном испытания проводились на базовых инсталляционных пакетах, поскольку не было установлено какого-либо дополнительного ПО (кроме пакета для тестирования) или заплат для операционной системы.

Эталонные замеры производительности были выполнены с использованием последней версии набора FutureMark PCMark Vantage Professional, который производит множество тестов на способность системы записывать, воспроизводить и редактировать разнообразные типы аудио- и видеоданных, а также ее способность обрабатывать большое количество текста и визуализировать веб-сайты.

Я использовал 32-битовую версию PCMark Vantage, чтобы испытать 32-битовые редакции Windows 7 и Vista SP2, и 64-битовую версию этого пакета для оценки 64-битовых систем.

Оценка PCMark – суммарный показатель, отражающий продуктивность системы в комплексном наборе тестов, включая Memories, TV and Movies, Gaming, Music, Communications, Productivity, а также тестирование жесткого диска.

Анализ всех результатов можно найти в этом слайд-шоу.

По итоговым оценкам PCMark, Windows 7 выиграла во всех аспектах. В 32-битных тестах Windows 7 показала незначительное улучшение на 2,6% по сравнению с Vista SP2 на лэптопе (Vista: 3,603, Win7: 3,698), но заметное улучшение на 15,1% на четырехядерном десктопе (Vista: 6,096, Win7: 7,018). Эта разница в результатах показывает, что Windows 7 более эффективно использует архитектуру ОЗУ в 32-битовых системах.

В 64-битных тестах Windows 7 показала увеличение производительности на 13,6% по сравнению с Vista на лэптопе (Vista: 3,679, Win 7: 4,183) и улучшение на 8,7% на десктопе (Vista: 6703, Win 7: 7284).