Ce se ascunde în spatele tehnologiilor de securitate din Windows Vista
User Account Control și Internet Explorer 7 Protected Mode
Windows Vista este cel mai sigur sistem de operare desktop creat de Microsoft până în prezent, în care au fost introduse multe tehnologii de securitate inovatoare.
Pe această pagină
 | Introducere |
| User Account Control |
| Integritatea datelor |
| Internet Explorer 7 – Protected Mode |
| Politici de acces |
| Principii de securitate |
Introducere
Foarte mulți dintre noi au auzit despre protecția antimalware folosind tehnologii ca "Windows Defender" – aplicația antispyware a Microsoft sau "Forefront Client Security" (aplicația antivirus destinată protecției clienților) – servere Windows sau stații de lucru ce ruleaza sisteme de operare desktop începand cu Windows 2000.
De o securitate îmbunătățită putem beneficia folosind și ultima versiune a aplicației "Windows Firewall" inclusă în sistemul de operare Windows Vista.
Dar securitate înseamnă mult mai mult decat updatarea sistemului de operare, o aplicație antispyware/antivirus sau o aplicație firewall.
Un sistem de operare trebuie să ofere încredere utilizatorilor și să protejeze datele (mai mult sau mai puțin confidențiale) stocate pe aceste sisteme.
În acest domeniu al securitații (protecția datelor, identitate și control acces) intră și tehnologiile "User Account Control" sau "Internet Explorer 7 – Protected Mode".
Voi explica aceste tehnologii și ce ascund ele în spate.
User Account Control
"User Account Control" - tehnologie care nu exista în Windows XP, apărând prima dată în Windows Vista și în Windows Server 2008 - reduce posibilitatea ca o aplicație cu privilegii minime (low) să dobândească în mod automat și necontrolat privilegii sporite și să aibă acces la fișierele utilizatorului fără consimțământul acestuia.
Această posibilitate există în Windows 2000/XP unde un utilizator (cu drepturi de administrator) putea fi indus în eroare mai ușor să execute un anumit cod (aplicație ostilă acelui sistem) și care putea duce la compromiterea acestuia.
Să arătăm acum felul în care Windows Vista și tehnologiile "User Account Control" sau "Internet Explorer 7 – Protected Mode" împiedică astfel de evenimente nefericite.
În Windows Vista orice aplicație care solicită acces la zone sensibile ale sistemului de operare (fișiere de sistem, registry-ul de sistem) va primi acces să ruleze numai după consimțămantul explicit al utilizatorului.
Acest lucru înseamnă că aplicația respectivă nu poate să-și eleveze în mod necontrolat privilegiile și să compromită sistemul respectiv.
Integritatea datelor
Cum rezolvă sistemul Windows Vista problema integrității datelor?
Windows Vista introduce conceptul de etichetă (label) și 4 nivele de integritate: low, medium , high și system.
Când un utilizator se loghează în sistem el capată un nou SID (identificator de securitate) în tokenul sau – de formă S-1-16-etichetă. Acesta este identificatorul său de integritate (sau de incredere)
S-1-16-16384 system mandatory level S-1-16-12288 high mandatory level S-1-16-8192 medium mandatory level S-1-16-4096 low mandatory level
De fapt fiecare utilizator(subiect) sau obiect din Windows Vista posedă un identificator de integritate prezent în SACL (System Access Control List).
În mod uzual toți utilizatorii sistemului de operare Windows Vista (inclusiv administratorul) rulează la un nivel de integritate "Medium".
În momentul cand un utilizator (administrator) trebuie să-și eleveze (sporească) privilegiile pentru a rula o aplicație ce accesează zone sensibile ale sistemului de operare (sistem de fisiere, registry) nivelul sau de integritate devine "High".
Internet Explorer 7 – Protected Mode
Internet Explorer rulează în mod normal la un nivel "Low" de integritate.
Orice aplicație care se downloadează din Internet va dobandi un nivel de integritate "Low" (egal cu al procesului Internet Explorer) și nu va putea să se execute și să-și eleveze privilegiile compromițând sistemul respectiv. Acesta este modul protejat (Protected mode) în care rulează IE7 pe Windows Vista.
Modul protejat oferit de IE7 este o facilitate prezentă numai pe sistemul de operare Windows Vista.
Atenție! "User Account Control și Internet Explorer Protected Mode" se pot dezactiva, dar nu este recomandat. În plus, pentru site-urile web din zona Trusted Sites din Internet Explorer 7 – modul protejat (Protected mode) este dezactivat.
Politici de acces
Un utilizator poate accesa și modifica un obiect în Windows Vista numai dacă nivelul sau de integritate este mai mare decat cel al obiectului.
În acest scop în Windows Vista sunt definite 3 politici obligatorii de acces:
| • | No WRITE UP – o entitate nu poate modifica un obiect dacă posedă un nivel de integritate mai mic decat al obiectului respectiv |
| • | No READ UP – o entitate nu poate citi un obiect dacă poseda un nivel de integritate mai mic decât al obiectului respectiv |
| • | No EXECUTE UP – o entitate nu poate executa un obiect dacă posedă un nivel de integritate mai mic decat al obiectului respectiv |
Principii de securitate
Putem privi aceste tehnologii și prin prisma altui principiu de securitate – "principle of least privilege" sau "principle of minimal privilege" - "principiul privilegiului minim" în care utilizatorul trebuie să aibe privilegii minime pentru accesarea unui sistem informatic conform fișei postului și sarcinilor pe care trebuie sa le îndeplinească.
În acest fel, în Windows Vista toți utilizatorii au acelasi nivel de integritate (încredere) pe un sistem iar privilegiile administrative se folosesc doar în cazul în care este necesar.
Aceste tehnologii de securitate de care am vorbit în acest articol sunt o implementare a modelelor de securitate dezvoltate încă din anii ’70 – modelul de integritate a datelor Biba și modelul de confidențialitate a datelor Bell – LaPadula.
Pentru informații suplimentare
Aflați mai multe despre aceste tehnologii citind:
| • | Windows Vista Integrity Mechanism Technical Reference |
| • | Windows Integrity Mechanism Resources |