Сравнительная характеристика семейства
История развития семейства ОС Windows берет свое начало в 80-х годах, тогда была разработана первая операционная система Microsoft Windows 1.0. Далее следовали разработки Microsoft семейств Windows 2.x, Windows 3.x, Windows 9.x. Версии Windows 1.0, а также семейств Windows 2.x, Windows 3.x не являются полноценными операционными системами, а представляют собой надстройки к операционной системе MS-DOS для выполнения и взаимодействия приложений, отчего инструменты для обеспечения безопасности в них не были разработаны. Версии семейства Windows 9.x по умолчанию были предназначены для домашнего пользования, исходя из этого реализация инструментов защиты не стояла на первом месте, поэтому операционные системы не были безопасными. По этой причине все вышеперечисленные версии ОС Windows не обозреваются. Рассмотрению подлежит линейка операционных систем Windows NT.
Windows NT 3.1 – это первая операционная система с файловой системой NTFS, которая использует для хранения информации о файлах файловую таблицу Master File Table (MFT), что позволяет оптимизировать использование дискового пространства, улучшить производительность и надежность. ОС имеет встроенные возможности разграничения прав доступа к данным для различных групп пользователей Access Control Lists (ACL), ограничения выделяемого дискового пространства для различных групп пользователей.
Следующая версия линейки операционных систем — это Windows NT 4.0. В данном продукте были добавлены новые средства администрирования: журнал системных событий, новый редактор системной политики, административные программы-мастера, расширенное средство Windows NT Diagnostics и программа Network Monitor (программа мониторинга работы сети). В связи с высокой уязвимостью системы по умолчанию гостевая учетная запись отключена.
По сравнению с Windows NT 4.0 в Windows 2000 (или Windows NT 5.0) были введены следующие средства защиты данных: поддержка службы каталогов Active Directory, позволяющая администраторам делегировать набор административных полномочий отдельным пользователям; возможность шифрования файлов и папок при помощи шифрованной файловой системы EFS, использование протокола SSL для обеспечения безопасности сетевых каналов, реализация связи по сети с использованием стандарта IPSec для защиты передаваемых данных. Для проверки подлинности пользователя были реализованы: протокол проверки подлинности Kerberos, обеспечивающий безопасный способ передачи по сети сеансового ключа шифрования, который содержит основные данные для аутентификации пользователя; применение сертификатов, основанных на открытых ключах, а также поддержка входа в систему при помощи смарт-карт.
В Windows XP были реализованы такие инструменты обеспечения встроенной безопасности, как брандмауэр, обеспечивающий фильтрацию сетевых пакетов по заданным правилам, улучшенная шифрованная файловая система EFS с поддержкой шифрования AES с 256-битным ключом, запуск программ от имени пользователя.
Целый ряд улучшений в безопасности был принят в операционной системе Windows Vista.
Во-первых, совершенствование системы контроля учетных записей пользователей User Account Control (UAC), которая запрашивает от пользователя разрешения выполнить действие, требующее полномочий администратора.
Во-вторых, применение технологий, предотвращающих использование эксплойтов, то есть программ или фрагментов программного кода, которые могут воспользоваться обнаруженными уязвимостями для осуществления атаки на вычислительную систему.
В-третьих, возможность шифрования системного диска BitLocker и улучшение системы шифрования файлов EFS, позволяющее задавать разную длину открытого ключа пользователя, сохранять ключ на смарт-картах и шифровать файл подкачки, а также требовать обязательного шифрования пользовательской папки с документами.
В-четвертых, это предотвращение заражения вирусами с извлекаемых носителей, то есть автозапуск программ с таких носителей по умолчанию отключен и предотвращение выполнения данных (DEP), который также включен по умолчанию. В-пятых, блокировка прямой записи на диск, если с диска смонтирована файловая система. Следующим встроенным инструментом безопасности является защитник Windows (Windows Defender), предназначенный для борьбы со шпионским программным обеспечением. Еще одним из средств обеспечения безопасности является родительский контроль, который помогает ограничить использование компьютера детьми. Стоит отметить, что не все выпуски Windows Vista поддерживают полностью те или иные компоненты. К примеру, в версиях Starter, Home Basic, Home Premium отсутствуют подключение к домену, редактор групповых и локальных политик, шифрованная файловая система EFS, функция BitLocker. Эти возможности включены в версии Business, Enterprise и Ultimate.
Windows 7 стала следующей версией линейки операционных систем Windows NT. Здесь также улучшения коснулись безопасности системы. Среди них — гибкая настройка User Account Control (UAC), изменения в технологии шифрования BitLocker, добавление функции шифрования съемных носителей BitLocker to go и возможность защиты данных на USB-накопителях с помощью Enhanced Storage, улучшение брандмауэра Windows, позволяющий уведомлять пользователя о блокировке программы, которая пытается получить доступ к сети. При помощи групповой политики и добавления функции AppLocker можно запретить запуск определенных приложений. С помощью нового компонента DirectAccess можно установить безопасное соединение с сервером в фоновом режиме, не требующее участия пользователя. Также, как и в Windows Vista, не все редакции Windows 7 предоставляют вышеперечисленные функции. Версии Starter, Home Basic, Home Premium не предоставляют подключение к домену, редактор групповых и локальных политик, запуск оснасток локальных и групповых политик, а также систему шифрования данных EFS. Включаю версию Professional, отсутствует поддержка функций AppLocker, BitLocker & BitLocker to go и DirectAccess. Версии Enterprise и Ultimate предоставляют все вышеперечисленные возможности.
В сравнении с предыдущей версией Windows 8 претерпела значительные изменения в плане безопасности. Для обеспечения защиты от вредоносного программного обеспечения были добавлены и усовершенствованы такие компоненты системы, как функция Secure Boot (Безопасная загрузка), позволяющая проверить безопасность загрузчика Windows перед загрузкой на наличие установленных bootkit-программ, функция надежной загрузки ELAM, включающая возможность запуска антивредосного программного обеспечения до запуска вредоносных программ, в случае внедрения таких вредоносных программ ELAM восстанавливает исходные системные файлы, возможность установления приложений из Магазина Windows снижает риск проникновения вредоносного ПО. Улучшенный AppLocker предоставляет более гибкую настройку правил запуска приложений, как настольных, так и загруженных из Магазина Windows. Фильтр SmartScreen обеспечивает защиту от веб-угроз благодаря антифишинговой защите, проверке репутации приложений и защите от вредоносных программ. Расширение возможностей функции Windows Defender позволяет предотвратить заражение компьютера вредоносным ПО, в том числе вирусами. Кроме того, усовершенствование ядра усложняет доступ вредоносного ПО к системным ресурсам. Для обеспечения полного шифрования устройств в Windows 8 было улучшено средство BitLocker, которое может в целях повышения безопасности поддерживать новый тип жесткого диска: зашифрованный жесткий диск, в целях сокращения времени шифрования шифровать личные данные, указанные пользователем, а не целого диска, как это было в предыдущих версиях. Дополнительным повышением уровня безопасности стало введение PIN-кода. Проверка подлинности пользователя теперь может осуществляться благодаря использованию виртуальных смарт-карт и графических паролей. Виртуальные смарт-карты избавляют пользователей от хранения физических смарт-карт, так как соответствующие сертификаты смарт-карт вместо него хранит Windows 8, пользователю остается только вводить свой PIN-код. Графические пароли представляют собой некую рисованную комбинацию жестов в виде точек, линий или кругов на изображении, выбранном пользователям. Такой способ проверки подлинности является достаточно надежным, но если пользователь забывает графический пароль, для входа в систему он может ввести обычный пароль. Для обеспечения контроля доступа в Windows 8 можно использовать динамический контроль доступа, контроль которого основывается на базе динамических правил, а не статистических списков пользователей и групп безопасности.