5 способов добиться безопасности Windows Vista

Релиз Windows Vista должен произойти совсем скоро, хотя, быть может, и не совсем. Одним из наиболее часто употребляемым прилагательным, которые Microsoft использует в ходе рекламной кампании Windows Vista, стало «безопасная»...

Так ли это?

Microsoft рекламирует User Account Controls (UAC) в качестве самого значимого нововведения, появившегося в Windows Vista. UAC – это ответ компании Microsoft модели безопасности, уже давно используемой в Linux (а также Unix-based Mac OS X). Данная модель для исполнения некоторых задач требует администраторских привилегий. Среди таких задач установка программного обеспечения, установка новых устройств, доступ к реестру и системным папкам Windows. В остальное время пользователь работает, так сказать, с ограниченными правами.
В чем причина? Чтобы ограничить поле работы для хакеров. Если атакующий пытается взять систему под контроль путем использования найденной уязвимости, ему необходимо получить права пользователя. Раз пользователь может устанавливать программное обеспечение, почему же хакер не может?!. В результате атакующий завладевает компьютером и может использовать Трояны, черви, руткиты и всяких шпионов.
Миллионы пользователей Windows используют свои ОС исключительно в режиме администратора, иначе бы у них появилось множество проблем с установкой приложений и т.д. На самом деле, пониженные права сильно облегчают работу пользователей.
Редмонд позиционирует Vista как решение, направленное против участившихся случаев атак изобретательных пользователей. Но зачем ждать выхода Vista? Предлагаем вашему вниманию пять способов сделать вашу Windows XP (или иные версии ОС) такой же безопасной, как Vista под защитой UAC.
Обращаем ваше внимание на то, что наиболее уязвимым приложением является веб-браузер, поэтому мы настоятельно рекомендуем ознакомится со статьями 5 способов защитить Firefox и 5 способов защитить Internet Explorer.

Способ № 1: учетная запись с ограниченными правами
С первого взгляда можно удивиться, насколько легко использовать учетные записи Windows Vista, лишенные администраторских прав. Но это действительно так. Пользователь может довольно-таки просто создать учетную запись с ограниченными правами следующим образом: открыть меню Start – далее Settings/Установки - Control Panel/Панель управления - User Accounts/Учетные записи. В панели управления учетными записями просто выбираем Create a new account/Создать учетную запись, присваиваем ей имя и отмечаем галочкой опцию Limited/Ограниченная учетная запись. Создаем пароль и вуаля – учетная запись с ограниченными правами готова. Так?
Ну не совсем так. Это работает примерно также, как в случае ограниченной учетной записи в Windows XP – если вы только установили ОС (по крайней мере, так происходит в Windows XP), работа с ограниченной записью станет вашим кошмаром. Работать с ограниченной записью можно только в заранее настроенной ОС. Теперь вы не сможете просматривать документы из папки My Documents/Мои документы, потому что доступ к ней будет закрыт учетной записью администратора. Программы, установленные ранее, мистически исчезнут вместе с созданием новой записи. Другие – доступные пользователю – станут девственными в плане настроек – для каждой из таких программ будут созданы новые файлы конфигурации, старыми же воспользоваться не удастся никому, кроме администратора. Firefox, к примеру, запуститься без аддонов, Microsoft Word вернется в изначальным настройкам. Вам придется потратить не один час, чтобы восстановить настройки, которые были у вас до создания ограниченной учетной записи.
Не говоря о том, сколько приложений просто не устанавливаются до тех пор, пока вы не войдете в учетную запись администратора, а если и установятся, то просто не станут работать без администраторских привилегий. Можно обойти эту проблему путем щелчка правой кнопки мыши на exe-файле и выбора Run As, затем выбрать учетную запись с привилегиями администратора и ввести пароль. Но даже это не гарантирует работы установленному приложению.
Вывод: не вариант, потому что возникает много проблем.

Способ №2: Run As/Запуск от имени
В Windows XP появилась такая функция, как Run As/Запуск от имени, которая позволяет на некоторое время воспользоваться учетной записью другого пользователя. Данная функция включена для того, чтобы пользователь с ограниченной ученой записью мог временно получить права администратора для, например, установки какого-либо приложения.
Но можно перевернуть смысл данной функции с ног на голову, чтобы сымитировать защиту, предоставляемую UAC. Идея состоит в том, чтобы запускать наиболее уязвимые приложения с ограниченными правами. В таком случае, даже если вредоносной программе удастся захватить контроль над приложением, у этой программы будет минимальное количество прав и она вряд ли сможет нанести серьезный вред системе.
Для реализации данного способа рекомендуется запускать браузер - IE или Firefox, к примеру – и почтовый клиент с ограниченными правами, когда как остальные приложения – в режиме администратора. Это решает проблему с установкой/запуском приложений, которые возникают в случае работы в режиме учетной записи с ограниченными правами, одновременно оставляет настройки всех используемых приложений.
К примеру, щелкните правой кнопкой на ярлыке IE и выберите Run as из выпавшего меню. Нажмите The following user: и введите или выберите ограниченную учетную запись, введите пароль. Все.
Можно автоматизировать вышеописанный процесс, чтобы каждый раз не щелкать правой кнопкой на ярлыке. Из выпадающего меню ярлыка выбираем Properties/Свойства, переходим на закладку Shortcut/Ярлык и щелкаем кнопочку Advanced/Дополнительно. Выбираем Run with different credentials и щелкаем ОК. Теперь при запуске этого ярлыка первая вещь, которую увидит пользователь, будет диалог, из которого можно выбрать – запускать ли приложение от лица администратора или от лица ограниченной учетной записи, как в нашем случае.
Вывод: Неудобно, потому что требуется создание ограниченной учетной записи

Способ №3: Processor Explorer
Хотя Sysinternals стала частичкой Microsoft, бесплатные утилиты, известные своей полезностью, так и остались бесплатными. Это хорошая новость.
Скачайте утилиту Process Explorerкомпании Sysinternals, чей сайт расположен на портале Winternals. Основателем Sysinternals является Марк Русинович. Несмотря на то, что Process Explorer создан исключительно для предоставления информации по запущенным процессам в Windows, данное приложение предоставляет пользователю одну весьма полезную функцию, которая дублирует функции UAC. Названная Run as limited user/Запустить от лица ограниченной учетной записи, функция доступна из файлового меню Process Explorer.
Как вышеописанная функция Run As, данный пункт меню инициирует запуск – ну скажем браузера или почтового клиента – без администраторских привилегий. Но в отличие от Run As здесь не требуется создание ограниченной учетной записи или вводить пароль. Вместо этого приложение использует Windows API под названием CreateRestrictedToken для того, чтобы создать безопасную область памяти, называемую token, которая имеет привилегии администратора.
Все, что нужно сделать, - это выбрать File/Файл, затем Run as limited user/Запустить от лица ограниченной учетной записи, затем ввести или найти приложение, которое вы хотите запустить с пониженными привилегиями. Очень просто.
Вывод: Интересно, но как предположил Русинович, не может защитить ото многих угроз

Способ №4: приложение DropMyRights
Проблема со способом №3 есть одна проблема, – необходимо установить стороннее приложение Process Explorer - чтобы запустить приложение с пониженными привилегиями. Это не всегда удобно. Vista, конечно, заботясь о безопасности системы, заботится о своих пользователях. Поэтому все, что нужно делать – это щелкнуть на иконку.
Чтобы повторить данную возможность и автоматически запускать определенный набор приложений с пониженными правами, можно использовать утилиту DropMyRights – утилиту двухлетней давности, которая позволяет сконфигурировать ярлыки таким образом, чтобы при щелчке на них приложения запускались с пониженными привилегиями.
Созданная Майклом Ховардом, секьюрити-специалистом компании Microsoft, утилита DropMyRights делает буквально то, о чем говорит ее название: понижает привилегии, с которыми запускается приложение. Создайте такой ярлык для вашего браузера и почтового клиента. Наш совет: поместите файл "dropmyrights.exe" в корневой каталог C:\ для того, чтобы каждый раз не вводить длинный путь.
Sysinternals предлагает аналогичную программу под названием PsExec, которую можно скачать тут. Ее можно использовать как Process Explore для консоли. Для более подробной информации по тому, как пользоваться PsExec, рекомендуем ознакомиться с блогом Марка Русиновича. Внимательно прочитайте параграф, начинающийся с "Преимущества при использовании PsExec"
Вывод: Достаточно резонно запускать приложения с ограниченными правами

Способ №5: купить Mac
Немало аналитиков сходятся во мнении, что UAC, использованный в Windows Vista, очень похож на давно применяемую модель безопасности Mac OS X (и, как было сказано выше, в Unix и Linux). На Маке, к примеру, пользователь всегда имеет ограниченные права, за исключением тех моментов, когда требуется установить, например, какое-либо приложение – в таком случае пользователю будет предложено подтвердить свои намерения вводом имени администратора и пароля.
Хм, если UAC – всего лишь копия похода, использованного в Mac OS X, почему бы не заглянуть в этот подход глубже и внимательнее.
Перво-наперво, потребуется новый компьютер - это Mac Mini на основе процессора Intel, и iMac, и MacBook, и MacBook Pro, которые далеко не дешевы, несмотря на то, что говорят фанаты Apple. Кроме того, потребуется копия Windows XP (прим. как полагается – лицензионная) и программа виртуализации. Но такой вариант может стать действительно хорошим решением.
Вот как это можно реализовать.
На MacPC, работающем на процессоре Intel, необходимо установить программу виртуализации Parallels Desktop for Mac, которая ориентировочно стоит USD 80,00. Данное приложение позволит запускать Windows XP и программы для нее в ОС Apple Mac OS X. Теперь можно запускать самые уязвимые приложения – браузер, почтовый клиент или программу быстрого обмена сообщениями – на Маке они безопасней не только из-за стратегии обеспечения безопасности, но и потому, что различного рода угроз для OS X в сотни раз меньше, чем для Windows.
В общем все потенциально опасную работу можно делать на виртуальной машине с установленной Windows. Копируйте и вставляйте информацию, обменивайтесь файлами между Mac OS X и виртуальной машиной Windows, используя приложение Parallels.
Обратите внимание, такой вариант не работает в случае использования собственного творения Apple для мультизагрузки Boot Camp, потому что данное приложение требует для работы выключение одной из установленных ОС. Кроме того, оно не позволяет обмениваться информацией между двумя операционными системами.
Вывод: Накладно, но дает возможность незамедлительно получить безопасную ОС.

Источник: http://www.techweb.com
Перевод: deeper2k