«Внутренняя» защита операционных систем Windows 7 и Windows 8.

В данной работе приводится сравнение функциональных возможностей встроенной защиты операционных систем Windows 7 и Windows 8 с наиболее распространёнными комплексными решениями уровня Internet Security.

Внутренняя защита операционных систем Windows 7 и Windows 8.
Были проанализированы и сопоставлены ключевые защитные функции встроенной защиты с продуктами Kaspersky Internet Security (по ссылке лицензионный бесплатный антивирус Касперского на пол года) и Norton Internet Security. Результаты сравнения могут помочь пользователям понять специфику защитных функций рассматриваемых решений, а также определиться с выбором оптимального для своих задач средства защиты.

 

1. Введение

2. Сводная информация

3. Загрузка системы

4. Во время работы

5. Дополнительно

6. Есть ли жизнь без «комбайна»?

7. Выводы

 

Введение

Ни для кого не секрет, что сегодня находиться в Глобальной паутине с «голой» системой небезопасно. Другими словами, если у вас имеется машина под управлением Windows без установленного антивирусного решения, вопрос заражения – удел времени. Причём реалии таковы, что счёт уже идёт не на дни и даже, а на часы. Понимают это все: и производители антивирусных систем, и сама компания Microsoft. И, если действия первых известны всем (практически у каждого производителя в портфеле предложений имеются средства класса Internet Security), работа детища Билла Гейтса на ниве безопасности мало кому знакома. Так можно ли надёжно защититься встроенными средствами операционной системы? Именно на этот вопрос мы попробуем дать ответ.

 

Сводная информация

Вопреки распространённой практике, начнём с конца и сразу дадим ответ на вопрос из заголовка: встроенная защита в Windows 8 лучше, чем в «семёрке». И вот почему.

 

Таблица 1. Сводная информация о встроенной защите Windows 7 и Windows 8

 КомпонентWindows 7Windows 8
Загрузка системыUEFI+
ASLR++*
ELAM+
Управление автозагрузкой++*
Вход в систему с помощью альтернативных паролей+
Во время работыЗащитник++*
Брандмауэр++
SmartScreen++*
Запуск приложений в песочнице+
UAC++
Подсчёт сетевого трафика+
Дополни-тельноРодительский контроль++*
Резервное копирование++
Шифрование++
Установка на накопитель+
Виртуализация+

* — функция реализована лучше.

 

А теперь давайте разберёмся детальнее

Внутренняя защита Windows 7 и 8 строится по модульному принципу. Другими словами, это не один продукт с единой консолью, а набор взаимодействующих компонентов. Именно они и представлены в Таблице 1. Условно мы их разделили на три зоны действия: первая часть модулей работает во время загрузки системы, вторая – во время её работы, третья же активируется вручную и помогает дополнительно защитить операционную систему.

Однако, оперирование лишь оценками «есть\нет» в случае сравнения встроенных функций средств защиты не совсем корректно. Как вы могли заметить, в таблице ряд модулей помечен звёздочкой с утверждением, что «функция реализована лучше» в Windows 8. Это значит, что несмотря на то, что функция присутствует в обеих версией операционной системы, реализация в Windows 8 оказалась полнее или оптимальнее. Приступим к пояснениям.

 

Загрузка системы

UEFI (Unified Extensible Firmware Interface)унифицированный расширяемый интерфейс прошивки. По сути, это самостоятельная легкая операционная система, представляющая собой интерфейс между основной ОС и микропрограммами, главной задачей которого является корректная инициализация оборудования и передача управления загрузчику основной («большой») ОС, установленной на компьютере. Одними из наиболее востребованных особенностей UEFI, которые можно реализовать на работающем под ней компьютере являются: «безопасная загрузка», низкоуровневая криптография, сетевая аутентификация, универсальные графические драйверы и еще многое другое.

В свою очередь, функция Secure Boot в Windows 8 позволяет в процессе загрузки (до запуска операционной системы) организовать проверку всех запускаемых компонентов (драйвера, программы), гарантируя, что только доверенные (с цифровой подписью) программы смогут выполняться в процессе загрузки ОС. Неподписанный код и код без надлежащих сертификатов безопасности блокируется. В случае обнаружения компонента без цифровой подписи автоматически запустится служба Windows Recovery, которая попытается внести изменения в Windows, восстановив нужные системные файлы. Справедливости ради стоит отметить, что эту систему можно обойти, например, подписав вредоносную программу фальшивым сертификатом Microsoft (что уже было пару раз проделано злоумышленниками).

ASLR (Address Space Layout Randomization) – технология рандомизации адресного пространства. Она отвечает за защиту системы от эксплуатации багов в памяти. Технология случайным образом смещает данные и программный код в памяти для более сложной реализации эксплоитов. Разработчики реализовали её и в W7, и в W8, однако в последней она применяется для большего количества компонент.

ELAM (Early-Launch Anti-Malware) – функция раннего запуска защиты от руткитов, эксплоитов и вредоносных программ. За счёт этого антивирусы в Windows 8 могут запускаться в процессе загрузки ОС раньше, что позволяет им проверять драйверы, библиотеки и другие компоненты еще до их загрузки. Встроенный «Защитник Windows»  по умолчанию использует эту функцию.

Управление автозагрузкой – такая возможность существовала и в «семёрке», однако для её реализации требовались знания, отличные от «базовых». В новой ОС управление приобрело интуитивно понятный и наглядный интерфейс, став одной из вкладок «Диспетчера задач». Если ранее для правки списка самостоятельно стартующих исполняемых файлов приходилось обращаться к редактору реестра или брать на вооружение утилиту msconfig, то теперь достаточно открыть соответствующую вкладку менеджера задач Windows 8. Примечательно, что возможности последнего позволяют отслеживать влияние тех или иных приложений на скорость загрузки ОС и обеспечивают оперативный поиск в Интернете информации о норовящих запуститься без спросу программах.

Все описанные модули работают на старте системы, то есть ещё до того, как пользователь начинает работать на машине.

Вход в систему с помощью альтернативных паролей – функция, перекочевавшая из мобильных ОС. Создавая Windows 8 с прицелом на мобильные устройства с поддержкой сенсорного ввода, Microsoft по-новому взглянула на способ выполнения входа на компьютер и добавила возможность аутентификации с применением графического пароля либо числового PIN-кода. Конечно, для десктопа это может быть не столь актуально, но право на жизнь данная функциональность имеет.

 

Во время работы

Компоненты, использующиеся во время работы системы по своему функциональному наполнению больше всего похожи на антивирусы класса Internet Security. Первым из них является встроенный «антивирус», получивший название Защитник. С некоторых пор в Microsoft осознали, что предлагать пользователю только систему – значит, обрекать его на выход в Интернет без защиты. Поэтому, начиная с Windows 7, появился встроенный антивирус. Его возможности изначально не претендовали на обеспечение высокого уровня защиты пользователя и были ориентированы на то, чтобы «сил хватило» до покупки реального программного обеспечения от производителей. Зачем? Из-за пользователей. Выпустить антивирусный продукт – это лишь половина успеха. Нужно еще уговорить пользователя его купить. А если он не хочет? Или ленится? Но в этом случае его машина представляет собой угрозу окружающим (будучи заражённой, она может стать частью ботнета, участвовать в рассылке спама и т.д.). Поэтому и нужен антивирус хотя бы минимального базового уровня, чтобы снизить угрозу от компьютера такого пользователя для окружающих.

Таковы были мотивы корпорации, разработавшей Защитника Windows и Microsoft Essentials в дополнение к нему. Однако многие пользователи по-прежнему не хотели совершать «лишних телодвижений», скачивая бесплатный антивирус. Как следствие, Защитник Windows 8 вобрал в себя функциональное наполнение Microsoft Essentials. В итоге пользователи получили систему с базовым антивирусом «из коробки».

Теперь, дав необходимые пояснения, можно переходить непосредственно к сравнению компонент.

 

Таблица 2. Сравнение функциональности Защитника Windows 7 и Защитника Windows 8

 Защитник Windows 7Защитник Windows 8
Файловая защита в реальном времени++
Проверка архивов++
Проверка съёмных носителей++
Проверка корреспонденции по популярным почтовым протоколам (POP3, SMTP и др.)+
Проверка по расписанию+
Сигнатурный анализ+*+
Эвристический анализ++
Поведенческий анализ
Карантин++
Облачные технологииMicrosoft SpyNetMAPS

* — функция урезана, так как основной анализ должен выполнять Microsoft  Security Essentials.

 

Брандмауэр – встроенный в Windows межсетевой экран. Так как принципиальных отличий после Windows Vista в этом компоненте не было, рассматривать его подробнее в контексте сравнения встроенной защиты Windows 7 и Windows 8 нет смысла.

SmartScreen автоматически сканирует все исполняемые exe-файлы, которые пользователь загружаете из Сети. Также выступает в роли веб-экрана, синхронизируясь с серверами Microsoft для обновления баз неблагонадёжных сайтов. То есть позволяет выполнять репутационную проверку сайтов. В Windows 7 существовал только как надстройка безопасности Internet Explorer. В Windows 8 работа модуля была перенесена на уровень операционной системы, тем самым отвязав компонент от конкретного браузера. При запуске загруженного файла, SmartScreen сканирует его и отправляет его цифровую подпись на серверы Microsoft. В случае если цифровая подпись соответствует хорошо известному приложению, система запускает его. Если о приложении мало что известно, или оно состоит в списке неблагонадежных, Windows 8 сообщит об этом, а в случае угрозы безопасности не станет запускать приложение без принудительных действий со стороны пользователя.

Запуск приложений из песочницы. Эта функция явно уходит корнями в мобильные операционные системы. Приложения для нового интерфейса Windows 8 Metro выполняются в «песочнице», т.е. не могут выполнять никаких действий, кроме прямо им разрешенных. Для сравнения, приложения для рабочего стола имеют полный доступ к системе. Например, если Вы скачали и запустили игру, она может установить дополнительные драйверы в операционной системе, прочесть любые файлы с жесткого диска, и проделать другие изменения. Особенно это касается процесса установки, который обычно запускается с привилегиями администратора. Приложения Windows 8 работают несколько иным способом. Данные программы не могут скрытно работать в операционной системе, записывая все Ваши действия, пароли, также они не обладают доступом к любому файлу на Вашем компьютере. Также нужно отметить, что приложения Windows 8 могут быть установлены только из магазина приложений Windows.

UAC (User Account Control) – известный компонент, который запрашивает подтверждение действий, если программе для выполнения требуются права администратора.

Подсчёт сетевого трафика – этот инструмент по умолчанию встроен в Windows 8 (в настройках сетевого соединения в контекстном меню выбрать пункт «Отображать сведения о предполагаемом использовании данных»). Для решения аналогичной задачи в Windows 7 приходится прибегать к сторонним программам или виджетам. Его связь с безопасностью косвенна. К примеру, если вы не работаете за компьютером (и никаких обновлений не запущено), а активность трафика присутствует, возможно, это действия какого-нибудь «зловреда».

 

Дополнительно

Следующие функции активируются пользователями довольно редко, поэтому и были отнесены нами в соответствующий раздел. Подробно останавливаться на каждой из них вряд ли имеет смысл: шифрование и резервное копирование системы – известные инструменты. Поэтому остановимся лишь на новых и «улучшенных» функциях.

Родительский контроль. В представлении Microsoft должен включать в себя контроль проведённого времени за компьютером, контроль запуска приложений и игр, контроль посещаемых сайтов, а также ведение отчётности по каждому из направлений. В Windows 7 родительский контроль был тесно интегрирован с Windows Live, требовал дополнительной регистрации в этой службе. По сути, был полностью «завязан» на ней. В Windows 8 модуль стал «отвязанным», то есть не требующим дополнительной регистрации в Windows Live. Всё можно настраивать прямо в системе.. Тем не менее, компонент по прежнему связывается с серверами Microsoft для обновления своих баз (возрастные ограничения в играх, сайты с «взрослым» контентом и т.п.).

Установка на накопитель. Нововведение в «восьмёрке» в виде функции Windows To Go, которая позволяет записать образ системы на флешку и получать доступ к привычному рабочему окружению практически на любом имеющемся под рукой компьютере. С точки зрения безопасности эта встроенная функция позволила штатными средствами создавать LiveUSB.

Виртуализация. Ещё одна новая встроенная функция Windows 8, доступная практически «из коробки». Но не обошлось без нюансов. Новая функциональность задействована в 64-разрядных сборках операционной системы и может быть активирована только при наличии в компьютере процессора с поддержкой аппаратной виртуализации и механизма трансляции адресов второго уровня SLAT (Second Level Address Translation). Для включения VM-инструментария нужно в окне настройки компонентов Windows отметить флажком пункт Hyper-V и произвести установку дополнительного программного модуля. Тем самым, получаем полноценное средство для создания и управления виртуальными машинами. В качестве гостевых систем могут быть использованы не только клиентские и серверные продукты Microsoft, но и решения на базе Linux, развертывание которых может производиться без дополнительной правки пользователем конфигурационных файлов и параметров. В частности, встроенные средства виртуализации Windows 8 поддерживают Ubuntu. Это может оказаться хорошим подспорьем для любителей интернет-сёрфинга, т.к. большинство вредоносных программ являются Windows-ориентированными.

 

Есть ли жизнь без «комбайна»?

Как видите, если строить защиту только на встроенных средствах операционной системы, Windows 8, при правильной настройке, на голову более функциональна по сравнению с предшественницей. Но способна ли она обеспечить достаточный уровень сетевой безопасности в Сети? Иными словами, есть ли жизнь без «комбайна»? К сожалению, нет. Аргументы следующие:

  1. Сегодня при работе за компьютером, пользователи находятся в Сети практически постоянно. Поэтому для антивирусных программ на первое место выходят такие факторы, как скорость реакции на новые угрозы и поведенческий анализ программ. Но именно этих важных функций лишен встроенный в Windows Защитник, так как он изначально разрабатывался в качестве средства защиты начального уровня.
  2. SmartScreen хоть и выполняет свои функции, но стоит понимать, что эффективность такого продукта в большой степени зависит заложенных в него алгоритмов проверки, чем от базы «доверенных» приложений. И в этом плане антивирусные компании на голову обходят Microsoft.
  3. Важно, чтобы родительский контроль учитывал особенности региона. Так, в России, к примеру, не приняты единые стандарты по буквенной маркировке игр. Следовательно, эта функция для нашего региона практически бесполезна. С другой стороны, веб-экран, призванный защитить детей от нежелательного контента, опирается на базу сайтов, собранную Microsoft. Но это база вряд ли учитывает российские ресурсы. В продуктах некоторых «чистых» антивирусных вендоров эта проблема решена.
  4. Удобный и интуитивно понятный интерфейс. Пожалуй, этот аргумент один из самых главных. Если пользователю сложно понять, как правильно настроить средства защиты и где они находятся, он вряд ли будет ими пользоваться (даже если они хороши). В этом плане у Microsoft проблемы: модули «разбросаны» по разным местам, нет единой консоли управления, а для некоторых функций (в частности, UEFI) требуется определённое «железо».
  5. Встроенные средства Windows изначально рассчитаны на обеспечение базового уровня защиты пользователя и не учитывают множество нюансов, с которыми сегодня каждый пользователь сталкивается в сети (общение в социальных сетях, онлайн-платежи и т.д.)

 

Детальный же анализ более информативен. В сводной таблице мы собрали и сравнили только различия между встроенными средствами Windows 7\Windows 8 и «комбайнами» Norton Internet Security\Kaspersky Internet Security.

 

 Windows 7Windows 8Norton Internet SecurityKaspersky Internet Security
Версия продукта20.3.0.36Нет данных
Файловая защита в реальном времени+*+*++
Проверка по расписанию+++
Проверка корреспонденции по популярным почтовым протоколам (POP3, SMTP и др.)+++
Проверка архивов++++
Проверка съёмных носителей++++
Веб-антивирус++
Безопасное общение в социальных сетях+
(Facebook)
+
(ВКонтакте, Facebook, Twitter и др.)
Проверка сообщений, полученных через IM+
(анализ IM ориентирован на конкретные клиенты)
+
(анализ IM ориентирован на протоколы)
Проверка файлов, полученных через P2P, IM++
Автоматический брандмауэр++++
Поведенческий анализ++
Эвристический анализ++++
Сигнатурный анализ+**+**++
Карантин++++
Облачные технологии (распространение описаний новых угроз, импульсные обновления)++++
Облачные технологии (управление продуктом из облака)+
Запуск программ в изолированной среде (SandBox)++
Безопасность онлайн платежей++
Виртуальная клавиатура+***+***+ (реализовано в составе технологии «Безопасные платежи»)
Безопасный ввод данных с аппаратной клавиатуры+
Анти-спам++
Анти-баннер+
Анти-фишинг++
Проверка репутации сайтов+****+****++
Родительский контроль+*****+++
(реализован более полно)
Поиск и закрытие уязвимостей++
Резервное копирование данных++++
Ранний запуск защиты от вредоносных программ (Early-Launch Anti-Malware, ELAM)+++
Контроль целостности продукта++

* — реализуется только через сигнатуры и эвристику
** — используются собственные базы Microsoft
*** — используется как альтернативное средство ввода, а не как защищённая клавиатура
**** — реализована через SmartScreen. В Windows 7 функция будет работать только с браузером IE.
***** — требуется дополнительная регистрация в Windows Live.

 

В таблицу специально не были включены некоторые функции (UEFI, ASLR и пр.), т.к. антивирусное программное обеспечение работает не вместо, а вместе с ними, — тем самым усиливая общую защиту системы.

 

Выводы

Очевидно, что встроенные средства защиты Windows обеспечивают базовый уровень безопасности, которого должно быть достаточно для повседневной работы. Однако, если компьютер используется для осуществления более чувствительных с точки зрения безопасности действий, например, осуществления интернет-платежей, необходимо задуматься о более функционально наполненных решениях класса Internet Security. Кроме того, использование средств класса Internet Security оправдано, если компьютер используется дома и в семье есть маленькие дети — эти средства обладают более развитым и более гибким с точки зрения настроек модулей Родительского контроля.

По традиции мы не даем рекомендаций по тому, какой продукт выбирать, а предоставляем пользователям информацию, на основании которой они сами смогут сделать свой выбор, исходя из того, какие задачи решаются с помощью используемого ими компьютера. Также мы обращаем внимание читателей на то, что данное исследование является аналитическим и иллюстрирует функциональные возможности рассматриваемых продуктов. Ответ на вопрос насколько хорошо данные продукты выполняют свои функции можно получить только в результате объективного тестирования. Информационно-аналитический портал Anti-Malware.ru традиционно проводит тестирования различных средств защиты, с результатами которых можно ознакомиться на этой странице.

Источник — http://www.anti-malware.ru/

 




 


А может это будет интересно