Текст книги "Журнал PC Magazine/Russian Edition 01/2009"
Автор книги: Редакция Magazine/RE
сообщить о нарушении
Текущая страница: 8 (всего у книги 13 страниц)
Первое впечатление от процедуры установки Windows 7 хорошее. Инсталляция выполняется исключительно гладко и почти не отличается от аналогичной процедуры для Vista. К моему удивлению, инсталлятор предложил мне включить автоматическое обновление, в стиле Vista. Хочется спросить у представителей Microsoft, зачем ее специалисты упорно трудятся, разрабатывая важные «заплаты» безопасности и выпуская их каждый месяц (кстати, одно уже вышло для Windows 7, см. статью KB958644 в Microsoft Knowledge Base), если любой самоуверенный невежда может отключить автоматическую установку обновлений. Почему не включить ее принудительно, а уж пользователь отключит ее сам, если решит, что она ему не нужна? Microsoft и без того все считают диктатором, и такая малость не изменит общественное мнение. А если еще на этапе инсталляции задать автоматическую установку обновлений, можно было бы избавиться от миллионов «незалатанных» машин, беззащитных перед каждым вторжением из Web и попутной установкой вредоносных программ. При условии, конечно же, что на них будет инсталлирована Windows 7.
Процедура инсталляции операционной системы Windows 7 практически не требует вмешательства пользователя. В то же время, автоматически выбираемые параметры не обеспечивают идеальной защиты.
Центр решений Windows 7Microsoft Windows 7 начала «ворчать» по поводу безопасности сразу же после установки. В частности, красный флажок – предупреждение об отсутствии антивирусной программы. Похоже, «улучшенная безопасность» в Windows 7 не предполагает встроенную антивирусную защиту. Но, возможно, это и правильно, если принять во внимание, насколько малоэффективен встроенный Windows Defender в борьбе с невирусными опасностями.
Щелкнув на предупреждении, я ожидал появления на экране окна «Центр безопасности», но... «Центра безопасности» больше нет. Теперь он именуется «Центр решений». Старый «Центр безопасности» контролировал только межсетевую и антивирусную защиту плюс автоматические обновления. Новый «Центр решений» не только делает все это, но и сообщает о проблемах с защитой от шпионских программ, Интернет-безопасностью, контролем учетных записей (UAC), сопровождением системы и других.
Пиктограмма «маяк» в «Центре решений» используется вместо пяти отдельных пиктограмм в системном лотке Vista. Удобно. И, как сообщается в блоге разработчиков Windows 7, Microsoft работает над тем, чтобы уменьшить число всплывающих уведомлений и оставить только те, которые требуют ответных действий пользователя. Не будет сообщений чисто информационного характера, уведомлений об успешном завершении действия, возникновении проблемы (если не предлагается решение) и других маловажных событиях. Но если уж появится всплывающее сообщение от «Центра решений», то оно действительно будет важным и потребует действий пользователя. Разумная идея. Будем надеяться, что Microsoft воплотит ее в жизнь.
Центр решений Windows – мощный «пульт управления», с помощью которого настраивается и отслеживается работа всех компонентов системы безопасности.
Антивирусная защитаВернемся к сообщению об отсутствии антивирусных средств. Нажав на кнопку Find a program online (Найти программу в Сети), я получил на экране список антивирусных программ, совместимых с Vista. Стоп, почему Vista? Перейдя на закладку Windows 7, я понял. Там просто ничего нет, только примечание «Будет выпущено в ближайшее время...». Ладно, для бета-версии такое простительно. Щелкнув на ссылке AVG на странице Vista и рассчитывая инсталлировать бесплатную антивирусную программу AVG, я попал на страницу с приветствием «Добро пожаловать, пользователь Windows XP!» XP? Очевидно, Windows 7 недостаточно внятно идентифицирует себя для Web-сайтов. В конце концов, мне пришлось самому найти и загрузить AVG Anti-Virus Free 8.0.
Защитник Windows – полезный инструмент, но инсталлировать антивирус все равно рекомендуется.
Как и ожидалось, Internet Explorer задал вопрос, хочу ли я выполнить программу или только сохранить. После того как я запустил программу на выполнение, поступил вопрос UAC, разрешаю ли я инсталлятору сделать изменения на компьютере. Ну, а как же иначе?! Разве инсталлятор может что-то установить, не внося изменений? Инсталляция завершилась, и вроде бы успешно. Похоже, средства UAC ведут себя, по крайней мере при инсталляции, так же назойливо, как и прежде. Разработчики Windows 7 утверждают, что улучшили их, снабдив «движком» для регулирования чувствительности (об этом будет сказано ниже). Но, как я понимаю, во время инсталляции и настройки ОС модуль UAC работает с параметрами, принятыми по умолчанию, и уверен, что так считает большинство пользователей.
Однако довольно скоро система снова начала выдавать предупреждения. Открыв «Центр решений» я увидел сообщение «AVG Anti-Virus Free отключен». Странно! Хорошо, щелкнем на «Включить сейчас». И что же вы думаете?! UAC спрашивает, доверяю ли я программе. Выругавшись про себя, щелкаю на Yes и получаю... вопрос, хочу ли я позволить программе сделать изменения. Вне себя, опять щелкаю на Yes, и снова безрезультатно, антивирус не включается. В итоге снова приходится делать все вручную.
При открытии окна AVG Anti-Virus я столкнулся с парадоксом. В разделе настройки конфигурации Resident Shield показывается, что антивирусные средства активны, а окно состояния программы сообщает об обратном. Я решил, что если принудительно выключить программу, а потом снова включить, то все встанет на свои места. Проделав это, я естественно, получил два новых сообщения от UAC. Но вроде бы помогло, Resident Shield заработал, а «Центр решений» остался доволен.
Увы, спустя некоторое время история повторилась. Я отправил исполнительному директору AVG Карелу Облаку вопрос о странностях в поведении программы, и тот ответил, что «поскольку у нас с Microsoft заключено соглашение о неразглашении (Non-Disclosure Agreement, NDA), я не могу дать какую-либо информацию, полученную в результате проведенного нами тестирования AVG Anti-Virus в среде Windows 7. Однако хочу заверить вас, что мы работаем с Microsoft и прилагаем все усилия, чтобы программа AVG Anti-Virus была совместима с Windows 7 уже с самых первых версий». В общем, справедливо – ведь речь идет о предварительной бета-версии.
Главное впечатление от первого дня работы с Windows 7 – огромное число запросов UAC. На фоне громких заявлений, что Windows 7 обуздает назойливый «Контроль учетных записей», это удивляет. Что ж, по крайней мере, я убедился, что UAC жив и так же активен. Давайте, посмотрим, можно ли каким-нибудь образом сократить этот бесконечный поток всплывающих сообщений?
UAC и пользовательКто-то любит Vista, а кто-то ее страстно ненавидит. Большинство последних делятся на две основные группы. К первой принадлежат те, кто перешел на Vista с XP и скорее всего не воспользовался Windows Vista Upgrade Advisor, чтобы проверить совместимость аппаратного и программного обеспечения. Они потратили массу времени, пытаясь заставить свои принтеры печатать, программы учета ресурсов – учитывать, факс-модемы – отправлять факсы и т.?д. В своих бедах они обвинили Vista. Большая часть другой группы считали бы Vista замечательной ОС, если бы не эти доводящие до умоисступления всплывающие окна User Account Control.
Постановка задачи
Windows Vista должна была стать значительно безопасней, чем Windows XP, и UAC – краеугольный камень системы безопасности. Задача UAC – гарантировать, что ни одно изменение на системном уровне не произойдет без ведома пользователя и без разрешения администратора. Даже если пользователь сам наделен полномочиями администратора, то все его повседневные действия выполняются с правами стандартного уровня, с более низкими привилегиями, чем у администратора. Прежде чем опасный вирус (или полезное приложение) сможет сделать нечто ужасное, например записать себя в папку Windows, необходимо получить разрешение.
Самое кошмарное, что связано с всплывающими окнами UAC в Vista, – так называемый режим безопасного «Рабочего стола». При появлении предупреждения вся информация на экране, кроме сообщения UAC, гаснет. В Vista модуль UAC блокирует все действия, пока пользователь не отреагирует на сообщение. Цель этой меры – предотвратить попытки обмана и манипуляций со стороны вредоносных программ, но это очень действует на нервы.
Не столь страшен, но не менее неприятен другой сценарий. При запуске программы UAC сразу же спросит, действительно ли пользователь хочет запустить ее. Конечно же, если он это делает! Для рядовых пользователей и даже для администраторов, которым достаточно щелкнуть на Yes, это испытание терпения. Представьте себе состояние пользователя с привилегиями стандартного уровня, который должен ввести пароль администратора или (что бывает чаще) отправиться на поиски руководителя, который знает этот пароль. В одном случае из тысячи такая предосторожность, возможно, предотвратит запуск вредоносной программы, если, конечно, при этом пользователь проявит бдительность и нажмет кнопку No. В остальных же 999 случаях она принесет одни лишь муки.
В Windows 7 можно «укротить» подсистему User Account Control, ограничив ее поползновения на свободу пользователя.
В блоге Engineering Windows 7 (русскую версию блога см. на http://blogs.msdn.com/e7ru/) разработчики из Microsoft дали замечательную формулировку, что требование подтверждения каждого действия «помогает выявить вредоносные или плохо написанные программы и получить санкцию пользователя, прежде чем системе будет причинен вред». Такая же логика лежала в основе персональных брандмауэров старого типа (сейчас уже вышедших из употребления), которые обрушивали на нас поток непонятных всплывающих запросов. Более того, разработчики из Microsoft признают, что UAC, на самом деле, не может защитить от вредоносного ПО, поскольку у пользователей нет достаточных знаний, чтобы правильно отреагировать на предложение системы безопасности. Рядовой пользователь не может отличить сообщение UAC о совершенно безопасной программе от сообщения об атаке. Большинство пользователей просто нажимают на Yes и разрешают программе работать дальше. Как показывают данные, полученные Microsoft, пользователи нажимают на Yes в 90 % случаев.
Безопасность в IE8
Естественно, что в предварительной бета-версии Windows 7 в качестве встроенного браузера используется предварительная же бета-версия Internet Explorer. Я вкратце рассмотрю несколько вопросов, связанных с безопасностью.
• InPrivate Browsing (злые зыки именуют его «порнорежимом») позволяет посещать Web, не оставляя следов. Браузер не кэширует временные файлы, не принимает куки-файлы, не записывает историю посещений. Серфинг без следов сейчас моден: в Google Chrome есть «Режим инкогнито», в Safari – «Частный просмотр», нечто в таком роде скоро будет и в Firefox.
• InPrivate Blocking. Этот режим позволяет даже больше, чем просто анонимный просмотр: блокируются сайты, которые посягают на частную жизнь, отслеживая ваши типичные маршруты по сайтам и переходы между ними. Каждый раз, когда сторонний сайт принимает данные от сайта, на который зашел пользователь, он получает от IE8 пометку о неблагонадёжности. Десять таких меток, и сайт попадает в список жульнических. Когда функция InPrivate Blocking включена, запрещается доступ к подозрительным ресурсам. Конечно, рекламные компании, публикующие контекстные объявления на множестве сайтов, часто собирают информацию, чтобы удостовериться в том, что их реклама не транслируется одному и тому же пользователю. Некоторые из таких Интернет-рекламодателей волнуются, что из-за этой новой функции снизятся их доходы, но Microsoft уверяет, что блокировка такой рекламы не предполагается.
• Интеллектуальное удаление истории. Благодаря этим средствам упрощается удаление куки-файлов (и других следов в браузере), но при этом не теряются данные, автоматически заносимые в папку «Избранное». Это так просто, что удивляет, почему Microsoft не сделала этого раньше. Через диалоговое окно удаления истории просмотра можно убрать куки– и временные файлы и историю, но теперь там есть кнопка-флажок «Не удалять куки– и кэш-файлы с сайтов, которые сохранены в папке „Избранное“». Отлично!
• SmartScreen. Средства защиты от фишинг-атак теперь называют SmartScreen – экран IE8 приобретает страшный кроваво-красный цвет, предупреждая о потенциальной опасности. Это воздействует на пользователя гораздо сильнее, чем бледный, тусклый экран предупреждения IE7. Быстрый тест позволяет убедиться в том, что IE8 не менее успешно противостоит фишинговым атакам, чем IE7. Однако SmartScreen также способен блокировать сайты, известные как рассадники вредоносного ПО. Я попробовал повторно загрузить всю имеющуюся у меня коллекцию образцов «вредителей», чтобы проверить эту функцию. Не был заблокирован ни один из них! Единственный сайт, на который отреагировал SmartScreen, – это тот, который Microsoft построила специально для тестирования этой функции. Очевидно, SmartScreen тоже не вполне готов к работе.
Грандиозные цели
В блоге Engineering Windows 7 раздел User Account Control занимает большое место. Авторы не пожалели времени на то, чтобы поздравить самих себя с разработкой такого хитрого механизм, который обеспечивает защиту и не требует необоснованного увеличения прав. (Спасибо, ребята, но не могли бы вы сделать так, чтобы при этом не издеваться над пользователем?) Правда, в конце концов они признали, что проблемы есть. Например, их исследования показывают, что 40 % всех предупреждений UAC сообщают о действиях самой Windows. Например, компонент Windows пытается сделать что-то важное, а UAC блокирует его, до тех пор пока пользователь не даст согласия. По словам авторов блога, «в Windows 7 будет меньше сообщений о действиях компонентов Windows». Это внушает оптимизм, и, надеюсь, обещание будет выполнено. В этом же блоге целый список других достойных восхищения задач, которые ставят разработчики новой версии UAC в Windows 7. Они, в частности, планируют:
• Сократить число ненужных и избыточных запросов UAC.
• Заставить пользователя поверить в то, что он контролирует ситуацию.
• Сделать напоминания UAC более информативными.
• Обеспечить более эффективное и наглядное управления UAC.
У меня сложилось впечатление, что разработчики не очень близки к достижению своих целей, поэтому я решил заняться более глубоким анализом.
Решение?
Я уже говорил о многочисленности всплывающих окон UAC в режиме по умолчанию. На первый взгляд, эти окна мало чем отличаются от аналогичных сообщений в Vista, за одним существенным исключением. Если Vista говорит: «Windows необходимо ваше разрешение для продолжения работы», то Windows 7 спрашивает: «Хотите ли вы разрешить следующей программе внести изменения в систему?» Не думаю, что для обычного пользователя здесь есть большая разница, но Microsoft не зря говорит о более глубоком понимании. Да, есть еще одно отличие: при появлении предупреждения на экране не происходит переход в режим безопасного «Рабочего стола», то есть информация на экране не тускнеет, а работа других программ не останавливается. Это не повергает в ужас, но все еще действует на нервы.
У некоторых пользователей Vista сообщения UAC вызывают такое раздражение, что они просто отключают его. Но в этом случае они теряют преимущества повышения безопасности. Windows 7 предлагает более умеренную альтернативу. В интерфейсе имеется простое средство настройки – «движок», при помощи которого можно выбрать один из четырех уровней серьезности предупреждений. Вот они в порядке убывания уровня ограничений:
• Уровень 4. Уведомить пользователя, когда программы устанавливают новое ПО, вносят изменения или меняют настройки Windows. Уведомить о том, что пользователь меняет настройки Windows. Ждать ответных действий пользователя.
• Уровень 3. Уведомить пользователя, когда программы устанавливают новое ПО, вносят изменения или меняют настройки Windows. Уведомить о том, что пользователь меняет настройки Windows. Не ждать ответных действий пользователя.
• Уровень 2. Уведомить пользователя, когда программы устанавливают новое ПО, вносят изменения или меняют настройки Windows. Не уведомлять о том, что пользователь меняет настройки Windows. Не ждать ответных действий пользователя.
• Уровень 1. Не уведомлять вообще.
Как я понял, мне придется отвечать на стандартные всплывающие запросы, только если UAC будет настроен на уровень 4. Исходя из своего опыта настройки Windows 7, я решил, что уровень 4 установлен по умолчанию. Кроме того, я подумал, что самый низкий уровень обеспечит защиту UAC, но без всплывающих окон. Я решил также, что могу просто получать уведомления, не требующие ответа. Вроде неплохо! Жаль только, что я сильно ошибся, все мои предположения оказались неверными.
Когда разработчики пишут «уведомить», они имеют в виду стандартный всплывающий запрос UAC. Скользкая формулировка. Это не уведомление, а запрос на подтверждение. Для меня, уведомление – это сообщение, которое само появляется, но и само исчезает, типа уведомления о почтовом сообщении Outlook 2007 в нижнем правом углу экрана. Когда разработчики пишут «ждать ответа», это значит, что ОС переключается в режим безопасного «Рабочего стола» и вся работа останавливается до тех пор, пока пользователь не ответит на сообщение.
Уровень контроля UAC, который так действовал мне на нервы во время инсталляции, я принял за наиболее ограничительный, уровень 4. Но оказывается это уровень 2! Это самый низкий уровень, на котором выдаются уведомления. На более высоком уровне всплывающих окон будет еще больше. Например, если «движок» стоит на уровне 3 и вы переведете его на уровень 2, то получите запрос UAC о разрешении на это. И это прогресс?
Что касается защиты на уровне 1, то я тоже ошибался. Если выбрать уровень 1, появится запрос на отключение UAC. Windows 7 сообщит, что требуется перезагрузка системы, и упрекнет: «Компьютер будет лучше защищен с включенным User Account Control».
При стандартных установках система реагирует на попытки инсталляции программного обеспечения и изменения настроек Windows. В самом «мягком» режиме диалоговое окно UAC не имеет статуса обязательного.
Список пожеланий к UAC
UAC, возможно, и полезен с точки зрения безопасности, но его нынешняя реализация – это кошмар. Он работает как старый, болтливый брандмауэр, бомбардирующий пользователя невнятными запросами, он совершенно неправильно расставляет акценты в столь важном вопросе, как безопасность. Да, он защищает от вредоносных программ, но только если пользователь обладает достаточным опытом и точно знает, когда нажать Yes и когда – No. Как тот мальчик из сказки, который кричал «Волки!», UAC приучает пользователей к тому, чтобы игнорировать его предупреждения.
Конечно, это только предварительная бета-версия. Разработчики Windows 7 обещают, что UAC будет менее назойливым. У них еще есть время, чтобы поработать над этим. Что бы хотелось им посоветовать? Никогда не спрашивайте у пользователя, хочет ли он сделать то, что он уже делает. Это его безумно раздражает! Никогда не спрашиваете разрешения на то, чтобы повысить уровень привилегий для известной, легальной программы и тем более для компонента Windows. Если же речь идет о неизвестной программе, сначала стоит проанализировать все особенности ее поведения, а не исходить из того лишь факта, что она затребовала привилегии администратора. После тщательного анализа можно решить, заблокировать программу или удовлетворить запрос. Не надо вешать эту ответственность на пользователя. Если разработчики прислушаются к этим советам, UAC может стать отличным инструментом.
Понижение уровня контроля над учетной записью пользователя требует перезагрузки. В то же время, ужесточить контроль можно «на лету». Обратите внимание – сообщение о необходимости перезагрузки выдается почти независимо от настроек «Центра уведомления» (возможно, это особенность бета-версии ОС).
Совершенно очевидно, что UAC по-прежнему нуждается в доработке. Между тем, всеми критикуемому брандмауэру Windows Firewall в версии для Windows 7 уже есть чем похвастаться. А впереди нас ждут еще более серьезные усовершенствования.
Брандмауэр и сетиТак сложилось, что Windows Firewall просто не заслуживает уважения. Он не был толком усовершенствован при переходе с XP на Vista. Да, он выполняет простейшие задачи, но отсутствие каких-либо серьезных функций делает его едва ли не образцом наихудшего представителя своего класса, на фоне которого выгодно отличаются другие, более удачные брандмауэры. Не могу даже припомнить, сколько раз я писал что-то вроде «конечно, продукт Х делает все порты невидимыми для хакерских атак, но ведь это удается даже брандмауэру Windows Firewall!». Хорошая новость: очень может быть, что Windows 7 выведет системный брандмауэр из этого унизительного состояния. Некоторые новые функции уже работают и неплохо показали себя даже в предварительной бета-версии ОС, которая инсталлирована на моей тестовой системе. Ожидается, что в Windows Firewall появятся и другие замечательные возможности.
Сетевой экран Windows 7 обеспечивает различные настройки при работе с корпоративными и домашними сетями.
Пользователю предоставляется возможность самостоятельно указать программы, которым разрешен доступ к Сети.
Разбираемся с My HomeGroup
Задача брандмауэра – защитить сеть, и Windows 7 начинает с того, что предоставляет в распоряжение пользователя удобные средства настройки конфигурации домашней сети. Если пользователи сталкиваются с проблемами в работе сети, то винят в первую очередь брандмауэр. И в большинстве случаев оказываются правы. В Windows 7 задача настройки домашней сети возлагается на ОС, при этом исключается возможность вмешательства брандмауэра.
Во время инсталляции Windows 7 предлагает создать нечто с таким приятным на слух названием, как HomeGroup («Домашняя группа»). По мере добавления к сети других компьютеров с Windows 7 им будет предложено присоединиться к этой группе. Они должны будут просто использовать тот же пароль «Домашней группы». К сожалению, проверить это на практике я не могу, поскольку Windows 7 инсталлирована у меня только на одной машине. Но в целом все выглядит достаточно просто.
Компьютеры в «Домашней группе» могут совместно использовать принтеры и определенные библиотеки файлов. По умолчанию совместный доступ распространяется на изображения, музыку, видео и документы, но при желании список можно ограничить. Есть даже возможность исключить из общего доступа отдельные папки. Впрочем, информации о том, как это сделать, пока нет – ссылка ведет на незаконченную страницу. Но не забывайте, что речь идет о предварительной бета-версии.
Кроме того, можно предоставить общий доступ к медиафайлам в своей сети даже компьютерам, не работающим с Windows 7, а также не только PC-совместимым устройствам. В качестве примера Microsoft демонстрирует возможность воспроизведения потоковых аудио– и видеоданных на Xbox 360. Разумеется, эта функция работает только с определенными устройствами. Например, подключить к моей сети консоль Wii она «не захотела». Конечно, время покажет, упрощает ли функция HomeGroup организацию сети. Но выглядит все это неплохо.
Если Vista четко разграничивает общедоступные и частные сети, то Windows 7 делит частную сеть на домашнюю и рабочую. Функция HomeGroup доступна только в том случае, если вы выбрали тип сети «домашняя». В рабочей сети компьютер сможет «видеть» прочие устройства и даже соединяться с ними. А общедоступная сеть (например, беспроводная в вашей любимой кофейне) блокирует доступ из любых прочих устройств и к ним. Для вашей же безопасности.
Двухсторонний брандмауэр
В Vista и XP возможности управления брандмауэром сводились просто к включению и выключению его. В Windows 7 имеются средства тонкой настройки параметров отдельно для частной («Домашней» и «Рабочей») и общедоступной сети. Подключившись к общедоступной сети в точке доступа (например, в кофейне), вам не придется самому заниматься настройкой и устанавливать многочисленные параметры. Достаточно выбрать тип сети «Общедоступная», и Windows Firewall самостоятельно установит весь набор более строгих параметров безопасности. Кроме того, можно заблокировать все попытки установить соединение из общедоступной сети. В Vista этого нельзя было сделать без одновременного отключения всего входящего трафика вашей собственной сети.
Диалог настройки сетевого экрана в зависимости от типа подключения.
В Windows 7 появилась возможность тонкой настройки сетевого экрана...
...например, можно задать тип и номер сетевого порта.
Следует отметить, что некоторые пользователи Vista даже не понимали предназначения брандмауэра. Hужен ли он вообще, если есть всплывающие окна предупреждений от UAC? Но эти модули решают совершенно разные задачи! UAC занимается внутренними проблемами, следя за программами, которые пытаются изменить что-либо в системе. Брандмауэр стоит на страже границы с внешним миром и отслеживает попытки доступа извне и вовне. Представьте их себе как два героических персонажа, стоящих спиной к спине и отбивающихся от врагов, нападающих со всех сторон. Вот так примерно и здесь.
Пожалуй, более интересна новая экранная кнопка Notify me when Windows Firewall blocks a new program (Уведомить, когда Windows Firewall заблокирует новую программу). Похоже на функцию контроля программ, которая уже давно есть в брандмауэрах сторонних разработчиков. Она разрешает доступ в сеть или Интернет только авторизованным программам. Если моя догадка верна, то пока эта функция не работает. Windows Firewall никак не реагировал на все мои попытки запустить браузеры от разных поставщиков и другие нестандартные программы, требующие доступа в Интернет. Они запускаются без всякого участия брандмауэра.
Возможно, эта экранная кнопка представляет собой многословный вариант Списка исключений Vista – перечня программ, которым разрешено устанавливать незапрошенные входящие соединения. Но если на самом деле Windows Firewall способен обеспечить двойную защиту, контролируя не только периметр сети, но и программы, то это большой шаг вперед.
Модульная организация
Я уверен, что Microsoft точно знает, что большинство пользователей устанавливают «настоящие» брандмауэры или даже программные комплексы безопасности и отключают Windows Firewall. Многие программы безопасности сторонних фирм вообще отключают Windows Firewall автоматически во избежание конфликтов. Чтобы покончить с этим унизительным отношением к своему продукту, Microsoft разделила функции брандмауэра между несколькими модулями и разработала программный интерфейс для удобного управления ими.
Список программ, нуждающихся в доступе к локальной сети или Интернету полностью подконтролен пользователю.
В выпущенном Microsoft документе «Windows 7 At-a-Glance» говорится: «Брандмауэры сторонних разработчиков могут использовать основные возможности Windows Firewall и добавлять к ним свои функции, а также включать и отключать некоторые модули Windows Firewall, что позволяет пользователю выбрать нужное ему ПО и обеспечить его бесконфликтную совместную работу с Windows Firewall».
Диалог, содержащий подробную информацию о подозрительном процессе.
Я поинтересовался мнением нескольких разработчиков относительно Платформы фильтрации Windows (Windows Filtering Platform). Вот что сказал Педро Бустаманте, главный научный консультант компании Panda Security: «Брандмауэр в Windows 7 выглядит, с точки зрения стороннего разработчика, очень похожим на то, что мы видели в Windows Vista. У него есть API, который позволит интегрировать собственный набор правил и активировать или деактивировать их одновременно. Впрочем, этот API не предоставит в распоряжение пользователя более развитые функциональные возможности, такие, как пакетная фильтрация (необходимая для обнаружения сетевых вирусов и „червей“), интеграция датчиков для механизмов анализа поведения, сканирование Web-трафика, построение систем обнаружения попыток вторжения и другие. Он позволит построить весьма элементарный брандмауэр, но, с точки зрения требований к безопасности, этого недостаточно». Так что при существующем положении дел вряд ли мы станем свидетелями массового перехода разработчиков в лагерь сторонников Windows Filtering Platform.
Не могу не отметить, что в Windows 7 имеется целый ряд других усовершенствований системы безопасности. Даже в нынешней предварительной бета-версии.