ویژگی های امنیتی جدید ویستا

من خود در چند ماه گذشته چندین نسخه از ویندوز ویستای مایکروسافت را استفاده کرده ام هر چند هر ویژگی بتا قطعا در محصول مشخص نبود تا وقتی که نسخه اصلی به بازار بیاید, در این بخش قصد دارم چند ویژگی امنیتی جدید را تا جایی که می شناسیم به شما معرفی کنم احتمالا UAC یا User Account Control جدیدترین ویژگی امنیتی این محصول است

من خود در چند ماه گذشته چندین نسخه از ویندوز ویستای مایکروسافت را استفاده کرده‌ام هر چند هر ویژگی‌ بتا قطعا در محصول مشخص نبود تا وقتی که نسخه اصلی به بازار بیاید، در این بخش قصد دارم چند ویژگی امنیتی جدید را تا جایی که می‌شناسیم به شما معرفی کنم. احتمالا UAC یا User Account Control جدیدترین ویژگی امنیتی این محصول است. قسمت عمده malwareهای امروزی کاربران را ملزم ساخته‌اند که با اختیارات Administrator متصل شوند. متاسفانه دلایلی وجود دارد که بسیاری از کاربران امروزی همواره به عنوان Administrator متصل شوند. UAC مانع بروز این مشکل می‌شود. این برنامه اغلب برنامه را در یک محیط محدود‌تر اجرا می‌کند (در واقع این محصول گسترش Restricted SID است که در XP امروزه در دسترس است) ، حتی وقتی که کاربر یک Administrator است.

به عنوان مثال، اگر شما به عنوان Administrator متصل شده‌اید، Internet Explorer Session شما همچنان به عنوان یک کاربر غیر Administrator اجرا می‌کند. برای اجرای وظایف سطح اجرایی شما می‌‍بایست که رمز ورود خود را مجددا وارد نمایید. در یک نوت مرتبط، امتیاز جدیدی در حال اضافه شدن می‌باشد، به نحوی که کاربران غیر Administrator بتوانند تنظیمات ساعت محلی سیستم را تنظیم نمایند. برای کاربران در حال سفر این ویژگی بسیار خوشایند می‌باشد.

نرم‌افزار Antispyware شرکت مایکروسافت در ویندوز ویستا ادغام خواهد شد، این کار احتمالا مانع اجرای بیشتر انواع maleware می‌شود. ویژگی‌های هدایت مجدد رجیستری لایه‌ای اضافی برای محافظت در مقابل انواع maleware ایجاد می‌کند. برنامه‌های pre-vists) Legacy) که قرار است مستقیما برای انواع System Registry Location نوشته شود، در عوض برای انواع رجیستری مجازی به صورت شفاف هدایت مجدد می‌شود. ویستا همچنین Secure Startup را در اختیار دارد. در نسخه‌های Enterprise این ویژگی به آن معنا است که کل درایو سخت را می‌توان پیش از بوت کردن رمزگذاری نمود و کلید رمز گذاری با امنیت تمام در یک چیپ Trusted Platform Module در مادربورد ذخیره می‌شود. بسیاری از روش‌های به کار رفته برای کوتاه کردن مجوزهایی که از دیسک‌های بوت NTFS-aware استفاده می‌کنند دیگر جایی برای کاربرد ندارند.

اینبار خدمات ویندوز، که اغلب یک نقطه ورود برای انوع buffer Overflow و انواع malware است، سخت‌تر خواهد شد. هر چند ویستا خدمات بیشتری نسبت به همه نسل‌های قبلی خود دارد، بیشتر آنها در Local Service و متون Network Service (به جای Local System) اجرا می‌شوند، به علاوه یک نظارت کامل کد و باز نویسی خدمات آسیب پذیر نیز وجود دارد. هر کدام از این خدمات SID خود را گرفته‌اند، که انواع مجوز، امتیازات و زمینه‌های فایروال را ارائه می‌دهد در هر کدام از این خدمات وجود دارد. مایکروسافت یک ویژگی مجوزی جدید access control entry) NTFS ACE) را به محصول ویستا اضافه کرده است. این ویژگی انواع مجدد granular را پیش پیش تنظیم می‌کند تا برای انواع Object و صاحبان آنها از پیش تعیین کند. اخیرا مجوزهای NTFS را می توان به گروه Creator Owner اعطا شود. این مجوز ACE جدید درست بر عکس است، این مجوز اجازه می‌دهد Creator Owner یک اصل امنیتی دیگر دریافت نماید.

گروه Power User کم ارزش می‌شود و یا به کل حذف می‌شود. فایروال ویندوز سدسازی خارج از باند را انجام می‌دهد و این نسخه جدید کاربر را هنگامی که یک برنامه نامشخص بخواهد با یک محل اینترنت تماس بگیرد و یا می کوشد خدمات شنیداری به راه بیاندازد این فایروال کاربر را آگاه می‌کند. با نصب OS جدید، فایروال ویندوز فعال می‌شود، بدون هیچگونه استثنایی تا وقتی که patching کامل شود. این ویژگی قبلا در Windows Server ۲۰۰۳ SP۱ وجود داشت این ویژگی نمی‌گذارد که قبل از نصب انواع پچ، انواع malware سرگردان به ویندوز راه پیدا کنند. برای پیکربندی بهتر و ادغام دقیق‌تر IPSec و فایروال کنسول کاملا جدیدی به وجود آمده است که Windows Firewall with Advanced Security نامیده شده است به نظر می‌آید استفاده از این کنسول آسانتر است و تلاش کمتری جهت پیکربندی را می‌طلبد.

ویستا بر MD۵ و SHA-۱hashing اتکا ندارد. از آنجا که الگوریتم‌های hash به ظاهر از لحاظ رمزگذارر به راحتی از بین می‌روند، مایکروسافت از انواع hash قویتر من جمله SHA-۲۵۶ استفاده می‌کنند. در زمینه patch، ویستا از ویژگی‌های patch-in-place پشتیبانی می‌کند: می‌توانید patch کرده و سپس کامپیوتر را دوباره بوت کنید، در این زمینه همه برنامه‌ها باز هستند و ویستا جلسات (sessions) برنامه فعلی را در reboot حفظ می‌کند. البته، بهتر بود اگر انواع patch در وهله اول نیاز به یک reboot نداشت. با یک برنامه جدید Network Center امکان دیدن، پیکربندی و مدیریت همه چیزهای شبکه‌سازی در یک محل مرکزی ایجاد می شود. همچنین یک کلاینت NAP پیشرفته نیز وجود دارد NAP یا Network Access Protection در واقع یک کلاینت کنترل دسترسی شبکه است. زمانی که سرور در Windows Server ۲۰۰۳ فعال شود، NAP مانع متصل شدن کلاینت‌های بد پیکربندی شده و غیرمجاز به یک شبکه تولید می‌شود. نصب‌های اخیر NAP شرکت مایکروسافت چندان دوستدار کاربر نبوده است، و در اغلب در بیشتر محیط‌ها مفیدتر نبوده‌اند.ویستا همچنین شامل اینترنت اکسپلورر۷ بسیار پیشرفته نیز است که شامل بیش از ۱۲ پیشرفت امنیتی جدید است. من (نویسنده) این ویژگی‌ها را در یک متن جداگانه در آینده مطرح خواهیم کرد و البته، صدها زمینه GPO جدید یا group policy object وجود دارد که از لحاظ امنیتی به کار می‌آیند. تعداد این زمینه‌ها به حدی زیاد است که نمی‌توان در این قسمت آنها را پوشش داد. قصد دارم سال جاری این تکنولوژی‌های جدید را پیگیری کنم.

نویسنده: Roger A.Grimes

مترجم: زهره چکنی