Ez a cikksorozat a Windows 8 desktop operációs rendszer azon új képességeit veszi számba, amelyek nem a felhasználói felülettel kapcsolatosak, illetve használatukhoz nem szükséges érintőképernyő. Az előző bejegyzésben tisztáztuk a a legfontosabb igényeket és szegmentáltuk a felhasználókat. Emellett sorra vettük a Windows 8 válaszidejét javító és a felhasználói kényelmet szolgáló funkcióit. A következőkben a megbízhatóság, és a biztonság kerül terítékre.
A megbízhatóságot segítő új funkciók
Kezdjük az egyik legtöbbet rakoncátlankodó alrendszerrel, a grafikus kártyákkal. Ha nem is gyakori, de széles körben ismert stabilitási probléma a grafikus alrendszerben, hogy néha a rendszer teljes lefagyottnak tűnik, miközben a felhasználó utasításait próbálja végrehajtani. A felhasználók általában várnak néhány másodpercet, aztán újraindítják az operációs rendszert a bekapcsológomb segítségével. A jelenség mögött általában a grafikai processzor (GPU) áll, pontosabban nem áll, hanem nagyon is elfoglalt egy grafikus-intenzív utasítás végrehajtásával. Mivel azonban tényleges képernyő-elem frissítés nem történik, a felhasználók azt gondolják, hogy a rendszer lefagyott. Mind a Windows Vista, mind pedig a Windows 7 megkísérli detektálni ezeket a szituációkat, majd dinamikusan helyreállítani a desktop válaszképességét. A rendszer nem indul újra, de a legtöbb esetben villog, miközben a grafikai elemek újrarajzolódnak. Néha azonban előfordul – különösen régebbi DirectX alkalmazásoknál, hogy a rendszer egy fekete képernyőt "rajzol fel" a helyreállítás végén, és a felhasználónak mégis csak újra kell indítania a gépet. Ezeket a GPU lefagyásokat és azok detektálását TDR-nek hívják (Timeout Detection and Recovery)
A Windows 8-ban jelentősen javítottak a TDR felismerési algoritmuson, továbbá nem a teljes adapternek, csupán a GPU Engine-nek kell újraindulnia. A Windows 8-ban található új WDDM fejlesztésekről egy teljes dokumentum áll rendelkezésre az érdeklődők – és főleg fejlesztők számára. A felhasználók mindebből persze csak annyit vesznek észre, hogy hiba esetén nem indul újra, illetve nem kell újraindítaniuk a rendszert. Kapnak egy értesítést a tálcán és a munka megy tovább.
Ahogy átalakult, illetve továbbfejlődött a Windows Display Driver modell, úgy megújult a Windows 8 nyomtatási eszközmeghajtó architektúrája is. A Windows 2000 óta a v3 generációs modellt használtuk, a Windows 8-cal és a Windows Server 2012-vel itt a v4 architektúra. Az új architektúrát leginkább az üzemeltetők fogják áldani – erről majd a maga helyén – de a felhasználók is profitálhatnak belőle. Mód van ugyanis az alkalmazásokat izolálni a nyomtató meghajtóktól. Ha a nyomtató driver valamilyen oknál fogva elhasal, akkor az nem fogja magával rántani az alkalmazást. (Tegyük hozzá: nem minden nyomtató meghajtó és nem minden alkalmazás esetén működik a dolog, lásd a korábbi linket.)
Az NTFS fájlrendszeren is sokat csiszolt a Microsoft, hogy még megbízhatóbb legyen. A fájlrendszer ma is rendelkezik automatikus hibadetektáló és önjavító mechanizmusokkal. A Windows 8-ban ezt az algoritmust továbbfejlesztették. A korábbihoz képest több hibát képes detektálni, és több hibát képes online, vagyis a kötet lekapcsolása nélkül megjavítani. Ha nem tud valamit megjavítani, akkor legalább képes online elemezni a hibát, így a javítás sebessége nem a kötet méretétől, hanem a hibák számától függ. A felhasználó mindebből annyit érzékel, hogy kevesebbszer jelentkezik a rendszerindításkor a chkdsk segédprogram, ha mégis, akkor annak futása legfeljebb 1-2 másodperc lesz, végső soron pedig a rendszere és az adatai nagyobb biztonságban vannak, mint lennének bármely korábbi Windows operációs rendszeren. Megjegyzem, az NFTS Self-healing, Online Analysis és Corruption Correction funkciói a rendszerüzemeltetőknek is hasznosak, hiszen kevesebb merevlemez/SDD disk meghibásodást, kevesebb adatvesztést, kevesebb incident jelenthetnek.
A megbízhatóság témakörében végezetül emítsük meg, hogy a Windows 8-ban debütál a "File History" szolgáltatás. A megoldás tulajdonképpen egy "csináld magadnak" mentési megoldás. Ki kell jelölnie a felhasználónak egy külső meghajtót, és attól kezdve a saját állományait biztonságban tudhatja. Egy részletes leírása a képességnek a hivatalos Windows 8 blogon található. A "File History" nem váltja le a backup szoftvert (az továbbra is elérhető), viszont kifejezetten a felhasználói igények szerint készült: állítsd be, felejtsd el. Ha szükséged van korábbi fájlokra, akkor a Windows Intézőben a "History" gomb segítségével elővarázsolhatod őket. A funkció igazi "Consumerization of IT" képesség. Míg az IT mappaátirányítással gondoskodik a felhasználó vállalati adatainak biztonságáról, a saját állományokat az informatika nem kezeli. De nem is kell, ha a felhasználó kezében ott az operációs rendszerbe beépített megoldás.
A biztonság kedvéért…
A Windows 8 rengeteg biztonsági technológiai újdonságot hordoz még a Windows 7-hez képest is, ám ezek egy része csak új, kifejezetten a Windows 8-hoz tervezett hardverek esetén használhatók. Ebben a cikksorozatban viszont a meglévő hardverekre koncentrálunk, ezért azokat a képességeket emelem ki, amelyek a korábbi Windowsokhoz tervezett hardveren is működőképesek.
Mindenek előtt említsük meg, hogy a Microsoft egyik saját, belső, vállalati iniciatívája a Trustworty Computing (TwC), valamint annak egyenes folyománya a "Secure Development Lifecycle (SDL)" immáron több, mint 10 éves. Mind a TwC, mind pedig az SDL alapvetően átalakította a Microsoft szoftverfejlesztési kultúráját. A cikkünk szempontjából ez jól látható az operációs rendszerekben található sérülékenységek statisztikájában (amely statisztika a Windows 8-at még nem tartalmazza természetesen). A biztonságos és sérülékenység-mentes szoftver végső soron nem is csak bizonyos technológiai megoldások alkalmazását jelenti, sokkal inkább a biztonsági eseményekkel kapcsolatos tapasztalatok visszacsatolását a fejlesztési folyamatokba. Az eredmény már igen jelentős volt a Windows 7 idején is, a Windows 8-tól még jobb teljesítmény várható.
Ha már biztonság, akkor a védekezés a kártékony kódokkal szemben mindenképp előkerül. A Windows 8 az első olyan Windows operációs rendszer, amely beépített, teljes értékű, le nem járó antimalware szoftvert tartalmaz. Windows Defender a neve. Használata természetesen nem kötelező, tetszés szerint lecserélhető más gyártó megoldására, viszont akik ezzel nem akarnak vagy nem tudnak bíbelődni, azok számára elérhető a rendszer első bekapcsolásától. Érdemes tudni, hogy a Microsoft telemetriai mérései szerint a megvásárolt PC-k szinte mindegyikén van antimalware megoldás, ám ezek többnyire legfeljebb 30, 45, 90 stb. napig használhatók ingyenesen, utána vírusvédelmi előfizetést kell vásárolnia a felhasználóknak. Ezt pedig a többség nem teszi meg, vagyis kockázatnak teszi ki a saját rendszerét és adatait, továbbá az így sérülékennyé vált rendszer kiváló célpontja a botneteknek. A Windows 8 Defender új verziója ezt a problémát igyekszik orvosolni. Ez persze nem jelent egy nagyvállalati megoldást, de otthonra vagy SOHO környezetben tökéletes munkát tud végezni.
A Windows Vistában jelent meg először az Address Space Layout Randomization (ASLR) funkció, amely a Windows 8-ban további képességekkel bővült (High Entropy Address Space Layout Randomization (HEASLR), ForceASLR stb.). Ezek a fejlesztések minden Windows alkalmazás, de
különösen az Internet Explorer 10 számára újabb védelmet jelentenek. Az IE 10 tartalmazza mindazon biztonsági funkciókat, amelyet az Internet Explorer 9 (SmartScreen, XSS filtering, Application Reputation, InPrivate Browsing, követésvédelem, lefagyás-érzékelés és helyreállítás). Néhány képesség megújult, az "Enhanced Protected Mode" például jobb weboldal izolációt biztosít, a követésvédelem pedig alapértelmezetten bekapcsolt.
Magától értetődően a Windows kernel is kapott jónéhány új védelmi mechanizmust. Ezeket korábban csak a felhasználói módban futó alkalmazásoknál lehetett bevetni. A Windows 8-ban például a felhasználói módban futó processzek nem allokálhatják a processz memória alsó 64K részét, amivel egy egész sor kernel módú NULL deference sérülékenység kihasználását meg lehet akadályozni. Integritás ellenőrzést kapott a kernel pool memória allokátor, hogy a kernel pool tönkretételére törekvő támadásokat gátolhassa a rendszer.
A IE 10, egyúttal a Windows 8-ban az egyik leginkább feltűnő biztonsági újdonság a SmartScreen technológia továbbfejlesztése és kiterjesztése a teljes operációs rendszerre. A SmartScreen egy anti-malware-t kiegészítő funkciónak kell tekinteni. A Microsoft URL és
alkalmazás reputációs szolgáltatására épül és jelzi a felhasználónak, ha gyanús helyről gyanús tartalmat töltene le. A szolgáltatás elérhető volt az IE9-cel a Windows 7-en is, de a Windows 8-ban böngészőtől függetlenül a teljes operációs rendszerre kiterjed a védelem. A Smartscreen-nel hatékonyan lehet védekezni olyan kártékony kódokkal szemben, amelyekhez még nem érhető le szignatúra, továbbá szűkíthető vele az adathalászok mozgástere is. A Microsoft úgy becsli, hogy egy átlagos felhasználó évente kb. kétszer találkozik majd a SmartScreen figyelmeztetéssel, s akkor a rendszernek jó oka lesz a figyelmeztetést megtenni.
A fenti biztonsággal kapcsolatos fejlesztésekből minden felhasználó hasznot húz majd. Néhány további azonban kifejezetten a rendszerüzemeltetőket érdekelheti. Itt van mindjárt az Internet Explorer 10. Már említettük a teljes ASLR támogatás és a SmartScreent. Az üzemeltetőknek viszont az fog leginkább tetszeni, hogy várhatóan jóval kevesebb javítás érkezik majd ehhez a verzióhoz. Miből gondolom ezt? Nos, a Microsoft saját statisztikái szerint az elmúlt két évben felfedezett IE sérülékenységek 75%-a ún. Use-after-free, vagyis olyan helyzetnek a kihasználása, amikor egy objektumhoz tartozó memóriát felszabadít az alkalmazás, majd újra felhasználja. A Windows 8-ban olyan védelmi mechanizmusokat implementáltak, amelyek megakadályozzák, hogy a támadók hozzáférjenek a virtuális funkció táblákhoz, ezáltal a use-after-free sérülékenységeket kihasználhassák.
Az IE10 – mindkét felületen – beépített Flash Player modult kapott. Ennek az üzemeltetők nagyon örülnek majd. Nem kell külön Adobe Flash Player–eket telepíteni, de ami még ennél is fontosabb, nem kell azok egyedi biztonsági frissítéséről gondoskodni. A beépített Shockwave Flash Object ugyanis a Windows/Microsoft Update-ről frissül, ha biztonsági rést találnának benne. Ráadásul ez a komponens teljes egészében használja a IE10 minden biztonsági képességét, legfőképp az ASLR. (Ugye, a múltban ismert olyan 0. napi támadás, amely arra épített, hogy az Adobe Flash Player nem használ ASLR-t.) Az már csak hab a tortán, hogy kifejezetten táblagépekhez optimalizálták, tehát nagyn takarékoskodik a CPU ciklusokkal.
Az IE 10-nél nem szabad elfelejteni, hogy továbbra is a legjobban felügyelhető vállalati böngésző, ezer feletti csoportházirend beállítással. Mi köze ennek a biztonsághoz? A csoportházirendek segítségével bármely funkciója tiltható a böngészőnek. Ha egy támadás egy adott funkció kihasználására irányul, akkor a funkció kikapcsolásával a támadást is azonnal meg lehet akadályozni, még azelőtt, hogy a javítás megérkezne az alkalmazáshoz. Ahogy az Ars Technica cikk is írja, a Windows 8 és az IE10 sokkal-sokkal magasabbra teszi lécet, mint korábban bármikor, rendkívül megnehezítve a támadók dolgát.
Nagyon szívesen írnék a Windows 8 SecureBoot képességeiről, mivel azonban ez a funkció BIOS helyett UEFI-t igényel, olyan desktop gép pedig még csak elvétve akad, ezért a cikksorozat elején leírtak alapján, ezt a funkciót nem elemzem. (Pedig érintőképernyőtől független funkció, nem igaz?)
Végezetül a rendszerüzemeltetőket érdeklő biztonsági képességeket jobbára vállalati/intézményi környezetben lehet használni. Keveseb által ismert képesség az Applocker. Ennek segítségével szabályozható, hogy milyen alkalmazásokat futtathatnak a felhasználók a gépeiken. A Windows 8-cal érkező verzió újdonsága a Windows 8 stílusú alkalmazások kezelése, felismerése, blokkolása. Ha mi egy olyan környezetet üzemeltetünk, ahol nem engedélyezett a Window 8 stílusú alkalmazások használata, akkor azt Applockerrel tudjuk tiltani. Többnyire persze nem erre, hanem esetleges kémprogramok, vagy egyéb nem kívánt alkalmazások tiltását lehet elvégezni vele – igaz erre már a Windows 7 Enterpise is képes volt.
Összegzés: érintőképerőny ide vagy oda, nem kérdéses, hogy a Windows 8 minden téren megbízhatóbb és biztonságosabb számítógép használatot nyújt, mint elődei. A vállalati PC-k fele még mindig Windows XP-t futtat. Pedig ha nagyvállalati ügyféllel találkozom, szinte mindig szóba kerül a biztonság. Vajon, ha a biztonság technológiai részét tekintjük, nem épp a desktoppal kellene kezdeni? Én azt javaslom, érdemes tesztelni a Windows 8-at ebből a szempontból is. Megállja a helyét!
Igények
|
Desktop felhasználók
|
Notebook felhasználók
|
IT Szakemberek
|
Rendszerüzemeltetők
|
Megbízhatóság
|
- Grafikus adapternél továbbfejlesztett GPU hibatűrés
- Nyomtatásvezérlésnél printer architecture v4
- NTFS Self-healing
- File History
|
- Minden, amit a desktop felhasználónál felsoroltunk
|
- Minden, amit a desktop felhasználónál felsoroltunk.
|
- NTFS Corruption Correction
- NTFS Self-healing
|
Biztonság
|
- Beépített teljes értékű antimalware
- Továbbfejlesztett ASLR
- IE10;
- SmartScreen
|
- Minden, amit a desktop felhasználónál felsoroltunk
|
- Minden, amit a desktop felhasználónál felsoroltunk
|
- IE10;
- Továbbfejlesztett Applocker;
|
Folytatom…