Microsoft: Vista asetti tietä turvalliselle Windowsille

huolimatta (jopa Microsoftin avainhenkilöt), Vista-käyttöjärjestelmä oli keskeinen väline viimeinkin tuomaan maailmaan turvallinen Windows-versio, ainakin jos Microsoftin tietoturva-asiantuntijan esitys Usenix Security Symposiumissa, joka pidetään tällä viikolla Washingtonissa, Ja se oli Vista - User Access Controlin (UAC) kaikkein vihaisin piirre - joka voi hyvittää.

Kaikki käyttäjät valittivat ärsyttävistä UAC-pop- jotka viimein vienivät monet sovelluskehittäjät uudelleenkirjoittamaan ohjelmiaan, kertoi Windowsin ydinturvallisuusryhmän Microsoftin vanhempi ohjelmavastaava Crispin Cowan.

Nämä ohjelmat kirjoitettiin uudelleen niin, että he eivät vaatineet täydellisiä hallinnollisia käyttöoikeuksia, vuorostaan ​​leikkaus tehdään wn UAC-ruutuihin ja sallivat käyttäjien hitaasti kasvavan mukavammin käynnissä rajoitetummin mutta turvallisemmissa käyttäjämuodoissa.

"UAC: n tarkoituksena oli siirtää sovelluksia pois hallinnollisista oikeuksista. Sen tehtävänä oli huutaa ohjelmia, jotka käyttivät järjestelmänvalvojan, jota ei tarvinnut ", Cowan sanoi.

UAC vaikutti itse asiassa" massiiviseen tuhoamiseen huonosti käyttäytyneiden [Windows] -ohjelmien väestöstä ", hän sanoi. Järjestelmänvalvojien oikeuksia pyytävien ohjelmien määrä väheni tiukasti. "

Cowanin puhe oli laajennettu argumentti siitä, miksi Windows 7 on yhtä turvallinen kuin Unix-versiot, kuten Linux, ja tämä tietoturvapariteetti syntyi hänen mielestään suurelta osin että Windows Vista oli ensimmäinen Windows-työpöytäversio, joka ei oletusarvoisesti anna jokaiselle käyttäjätunnukselle täydet järjestelmänvalvojan oikeudet.

Windowsin maine loistavasta turvallisuudesta on täysin ansainnut, Cowan myönsi. Windows-käyttöjärjestelmä on Windows XP, joka on rakennettu vuonna 2001. Siinä ei ole suurta osaa nykyympäristöön tarvittavista suojausmääräyksistä (vaikka Service Pack 2 lisäsi paljon suojausominaisuuksia, hän sanoi).

Windows-käyttöjärjestelmän aikaisemmat versiot korostivat käytettävyyttä turvallisuuden ja yhteyden vuoksi eri ohjelmien välillä, Cowan sanoi. Tällöin Windows sallii jokaisen käyttäjän olevan täysin hallinnassa koneessa. Jokaisella käyttäjätilillä on täysi hallinnollinen hallinta koneella.

"Jos käytät järjestelmänvalvojana, turvallisuus on melko toivoton", hän sanoi. Hallitsemattomien hallinnollisten oikeuksien ansiosta haittaohjelmat ja virukset voivat ohjata tietokoneita.

Vuodesta 2002 lähtien Microsoft alkoi tehdä turvallisuudesta olennainen osa ohjelmistokehitystä. Tämän seurauksena seuraavassa Windowsin, Vista-versiossa on erotettu toisistaan ​​kaikki, mitä käyttäjä voi tehdä koneella ja mitä järjestelmänvalvoja voi tehdä, erottelu, jota on aina noudatettu Unix-jakeluissa.

Tämä erottelu, UAC: n noudattamat rajoitukset rajoittavat käyttäjän vahingoittamia vahinkoja koneelle.

UAC voidaan nähdä Unix-sudo -komennon vastaavanlaisena Windowsina, Cowan selitti. Sudo sallii käyttäjän suorittaa etuoikeustarpeita vasta sen jälkeen, kun hän on toimittanut järjestelmänvalvojan tai pääkäyttäjän salasanan. Jotkut Linux-jakelut, kuten Ubuntu, poistavat ainakin laatikosta, juuret huomioon ottaen kokonaan, riippuen kokonaan sudoista.

Useat käyttäjät harjoittivat kuitenkin UAC: n käyttöä. Joka kerta, kun ohjelma edellyttäisi täydellisiä hallinnollisia oikeuksia, UAC-ruutu ponnahtaa näyttöön ja pyytää käyttäjältä lupaa.

UAC: n ärsytys osoittautui todella hyödylliseksi pitkällä aikavälillä, Cowan selitti, koska se pienempi määrä hakemuksia, jotka vaativat hallinnollisia oikeuksia.

Monissa tapauksissa ohjelmat eivät tarvitsi lainkaan hallinnollisia oikeuksia. Useat Windows-ohjelmat on suunniteltu kirjoittamaan konfigurointitiedot järjestelmän rekisteriin, kun se voi yhtä helposti tallentaa käyttäjäkansioihin.

Ajan myötä sovelluskehittäjät saivat viestin kaikista käyttäjän valituksista. Anonyymien telemetriatietojen käytöllä Microsoft arvioi, että Windows-sovellusten määrä, joka vaati käyttäjien käyttöoikeuksia, laski noin 900 000: sta 180 000: een.

Vaikka Vista sai huonoa mainetta käyttäjien vihamielisyydestä, Windows 7 teki UAC: n käyttäjäystävällisemmäksi ilman, että käyttäjä ja ylläpitäjä jakavat tiukan jakamisen. Tämä käyttöjärjestelmä tarjosi automaattista nousua, jossa rajallinen määrä Microsoftin ennakkoon hyväksyttyjä ohjelmia saisi hallinnollisen pääsyn ilman ärsyttäviä käyttäjän kehotuksia. Se tarjoaa liukuvan UAC-mittakaavan, joten käyttäjät voivat valita sovellustensa rajoituksen. Windows 7 perusteli myös virtuaalitilejä, joten yksittäiset sovellukset saivat omat käyttäjätunnuksensa, Cowan sanoi.

Puheenvuoron jälkeen yksi yleisöjäsen sanoi, että hän oli samaa mieltä siitä, että UAC luultavasti kannusti sovellusmyyjiä kirjoittamaan ohjelmansa uudelleen, mutta mietin, oliko tämä todella Microsoftin tavoite, kun otetaan huomioon käyttäjien tyytymättömyys. Cowan itse myönsi selittävän tietoturvan osalta, että "Kysytykset eivät ole pelkästään pahoja. Kysymykset, joissa vastaus on lähes aina" kyllä ​​"ovat pahoja."

UAC oli yksi monista ominaisuuksista, jotka Cowan sanoi tuonut Windows suojauspariteettiin Unixin kanssa. Muita ominaisuuksia ovat sisäänrakennettu palomuuri ja 64-bittisten ytimen ohjainten allekirjoitus. Joissakin tapauksissa hän väitti, että Windowsilla on nyt tietoturvaominaisuuksia, joita ei ole edes löydetty useimmissa Unix-jakeluissa, kuten verkon käyttöoikeuksien suojaus, muistin satunnaistamisen ja tietojen suorittamisen estäminen.

"Unixilla oli erittäin suuri tietoturva. Tämän jälkeen Microsoft on sulkenut aukon joka puolelta ja joissakin tapauksissa ylittänyt Unixin tietoturvan ", Cowan sanoi.

Joab Jackson kattaa Enterprise-ohjelmiston ja yleisen teknologian uusimmat uutiset IDG News Service. Seuraa Joab Twitterissä osoitteessa @Joab_Jackson. Joabin sähköpostiosoite on [email protected]