PatchGuard - шаг к безопасности

Стефан Тулуз, старший менеджер по продуктам в области технологий информационной безопасности Microsoft, ответил на вопросы еженедельника Computerworld.

Одной из основных причин являются rootkit — программы, которые не распознаются антивирусами. В ситуации, когда код, не являющийся частью операционной системы, выполняется наравне с кодом ядра, возникает угроза сбоев в работе ОС.

Ранее в ОС существовали недокументированные способы изменения кода ядра во время его работы. Эти методы никогда не использовались Microsoft и вызывают неодобрение у нашей компании. Мы не верим, что подобные изменения кода ядра безболезненны для пользователей; поэтому было принято решение запретить использование подобных приемов в новой версии ОС и реализовать документированные способы обеспечения модифицирования ядра, сохранив при этом функциональность.

Система поддерживает некоторые способы введения кода в ядро. Мы задали разработчикам приложений вопрос: «Для каких целей вы используете дополнительную функциональность, и как мы можем помочь вам в безопасном осуществлении этих функций?»

Некоторые из них использовали в своих продуктах технологию глубокого анализа сетевого трафика. Пользователи нуждаются в этой технологии, и независимые разработчики приложений не хотят отказываться от ее применения. Поэтому в новую версию ОС была введена функция Windows Filtering Platform, позволяющая приложениям независимых поставщиков обращаться к протоколам напрямую через сетевой интерфейс. Взамен модификации ядра для слежения за файловой системой была введена функция File System Filters. Мы работаем с независимыми разработчиками, помогая им сохранить функциональность их продуктов в новых условиях.

Symantec и McAfee также утверждают, что Windows Security Center, включенный в новую версию нашей операционной системы, вызовет неудобства у пользователей, связанные с невозможностью отключения даже при установке приложений сторонних производителей. Прежде всего, стоит отметить, что Windows Security Center создан для установки общего стандарта безопасности. Windows Security Center содержит сетевой экран, средство для защиты от программ-шпионов и систему автоматического обновления и будет напоминать Device Manager.

В Device Manager вне зависимости от производителя оборудования можете получить информацию о состоянии любого устройства и при необходимости изменить его. Мы хотим применить схожий принцип и для настроек безопасности — наши клиенты нуждаются в подобной утилите. Windows Security Center представляет собой сервис оповещения, к которому могут подключаться сторонние приложения безопасности. Если независимые разработчики готовы представить аналогичный, но более функциональный сервис — замечательно. А пока этого не произошло, Windows Security Center должен быть включен в базовую комплектацию ОС. Запрет на автоматическое отключение связан с тем, что это может привести к возникновению серьезных проблем, вызванных появлением уязвимостей в системе защиты операционной системы. Тем не менее, если пользователь не хочет использовать Windows Security Center, он легко может отключить его самостоятельно.

Они наши партнеры. Мы проделали большой объем работ по увеличению базовой безопасности операционной системы, но при этом понимаем, что Windows Vista не станет универсальным решением всех проблем в этой области. Поэтому мы предоставили сторонним разработчикам площади на территориях Microsoft, рабочие места в лабораториях, прямой контакт с разработчиками ОС — доселе невиданный уровень поддержки — все для того, чтобы они смогли приспособиться к новым правилам игры.

Наши клиенты хотят кардинального повышения безопасности операционной системы, поэтому мы должны принять несколько трудных решений. Эти решения — шаги к обеспечению безопасности. К сожалению, есть компании, которые хотят, чтобы операционная система оставалась незащищенной. Они просто хотят оставить все как есть.