Mala škola sigurnosti: Windows 7

win7Posljednji Microsoft-ov klijentski operativni sistem, Windows 7, sa sobom je donio i nova sigurnosna rješenja. Mnoga od tih rješenja samo su poboljšane ili unaprijeđene verzije istih tih rješenja iz prošlosti dok neka predstavljaju potpuno nove i do sada, na Microsoft OS-ima, neviđene sigurnosne karakteristike.

 

Vjerojatno ste se ne jednom našli uvučeni u razgovor koji se vrtio oko teme koji je od tri velika OS-a najsigurniji (Windows, MacOS i Linux). Gotovo je redovito slučaj da boje konkretnog OS-a brane njegovi dugogodišnji korisnici, ali je isto tako slučaj da ti isti korisnici najčešće nisu niti sjeli za računalo na kojem se vrti neki od „protivničkih“ OS-ova pa tako njihovo mišljenje valja uzeti sa dozom rezerve. Otkud uopće ljudima poriv da tako gorljivo brane boje onih proizvođača čije proizvode koriste? Možda je to više tema za neku sociološku ili bihevioralnu raspravu pa se ja kao strogo tehnički orijentiran tip neću usuditi istu komentirati, ali ako netko ima objašnjenje za navedenu pojavu neka ga slobodno iznese u komentarima ispod teksta. No, vratimo se originalnoj temi – sigurnosnim značajkama Windows 7 OS-a.

Dok je na XP-u upravljanje sigurnosnim značajkama bilo organizirano preko „Security Center“ okvira, u Windows 7 OS-u je predstavljen „Action Center“. Uz pomoć „Security Center“ okvira moglo  se upravljati sa svega tri (ključne) sigurnosne karakteristike (Firewall, Automatic Updates i Virus Protection), „Action Center“ predstavlja centralno mjesto upravljanja sa (gotovo) svim podsistemima vezanim za sigurnost i redovito održavanje Windows 7 operativnog sistema. Do „Action Center“ okvira ćemo najbrže stići ako u polje „Search“ upišemo „Action Center“. Još jedno mjesto gdje se može pronaći velik broj sigurnosnih karakteristika su lokalne police (Local Policy). Lokalne police dolaze kao MMC „snap-in“, a dio koji se odnosi na sigurnost se nalazi pod čvorom „Security Settings“. Iako se policy kao takve mogu koristiti i na „stand-alone“ klijentima, njihova puna snaga dolazi do izražaja tek u domenima aktivnog direktorija, dakle u visoko centraliziranom okruženju. Da bi otvorili navedenu MMC konzolu u Search upisujemo „gpedit.msc“.

Poznata je činjenica da su sigurnost operativnog sistema i lakoća tj. jednostavnost korištenja istog obrnuto proporcionalne jedna drugoj. Što operativni sistem ima liberalnije sigurnosne postavke to je ranjiviji i obratno, što su sigurnosne postavke postavljene rigoroznije to je korisniku teže raditi unutar tog operativnog sistema. O namjeni konkretnog računala će ovisiti balans između dvije navedene vrijednosti.  U praksi bi se kao primjer potpuno zaključanog računala mogao navesti „root CA“ poslužitelj koji je najčešće isključen i zaključan u sef (nimalo „user friendly“) dok bi s druge strane bio kućni PC kod kojeg je lakoća korištenja imperativ.

User Account Control

Kada se prvi put pojavio, User Account Control (UAC) je vjerojatno bio najnepopularnija karakteristika i onako prilično nepopularnog Windows Vista operativnog sistema. Vista nije omogućavala fino podešavanje UAC-a, već je UAC mogao biti uključen ili ste ga morali skroz isključiti. Windows 7 donosi neke novosti u vezi te karakteristike pa tako sada postoji mogućnost podešavanja nekoliko nivoa osjetljivosti UAC-a u skladu sa potrebama korisnika. No što je zapravo UAC, zašto ga je Microsoft implementirao u svoja zadnja dva OS-a i koliko ga je pametno isključiti?

UAC je sigurnosna karakteristika Windows 7 operativnog sistema koja nas obavještava o tome da akcija koju poduzimamo zahtjeva elevaciju privilegija tj. da zahtjeva administratorske ovlasti. Da bi bacili malo svjetla na ovo, trebamo se vratiti u, ne toliko davnu, prošlost. Kod Windows XP operativnog sistema nije postojao UAC, već bi se korisnik koji je želio izvesti neku administrativnu zadaću, a bio je prijavljen sa standardnim korisničkim nalogom, trebao odjaviti i prijaviti sa nalogom administratora. S obzirom da ljudi uglavnom imaju pametnijeg posla od neprestanog prijavljivanja na sistem i odjavljivanja, korisnik bi si najčešće kreirao administratorski nalog te bi iz tog naloga radio svakodnevne poslove na računalu. Ovo se kosi sa Microsoftovim savjetom da bi korisnik trebao biti prijavljen kao administrator jedino dok izvodi neke administrativne zadaće te da se, čim te zadaće obavi, odjavi i prijavi kao standardni korisnik.

UAC rješava navedeni problem na način da se korisnik koji je prijavljen na sistem kao administrator, od strane sistema tretira kao standardni korisnik te da mu se omogući elevacija privilegija (na administratorske) samo na kratko da bi obavio konkretnu zadaću.

Na ovaj je način korisnik obaviješten o tome da je u tijeku neka akcija koja zahtjeva administratorske ovlasti pa on u ovisnosti o tome dali je on sam pokrenuo tu akciju, dozvoljava ili zabranjuje podizanje privilegija odnosno dozvoljava ili zabranjuje izvršenje te akcije. Akcije koje će izazvati reakciju UAC-a su najčešće instalacija/deinstalacija aplikacija i promjena sistemskih postavki koje će utjecati na sve korisnike konkretnog računala (system-wide changes).

Koji je nivo UAC zaštite najbolji za vas?

Poznata je činjenica da je sigurnost računala obrnuto proporcionalna praktičnosti njegovog korištenja pa ćete tako i nivo UAC zaštite podesiti u ovisnosti o tome koliko želite zaštititi računalo odnosno koliko želite da računalo bude „user-friendly“. Naš je savjet da ostavite podrazumijevani nivo „Notify me only when programs try to make changes to my computer“ i da taj nivo mijenjate jedino ukoliko imate uistinu dobre razloge za to.

Nivo UAC zaštite se podešava preko „Change User Account Control Settings“, a do navedenog okvira se dolazi preko Control Panel→User Accounts putanje.

BitLocker i BitLocker To Go

Neke su studije pokazale da osoblje srednje velikih firmi (po Microsoftu su to firme sa do 100 zaposlenika i sa do 50 računala) u prosjeku izgubi dva prijenosna računala godišnje. Te su iste studije pokazale da šteta koja nastane takvim gubitkom može i za 20 puta premašiti cijenu samog prijenosnika. Razlog tako visokoj šteti je taj što će se uvijek pokušati utvrditi koji su se podaci nalazili na tvrdom disku prijenosnog računala i što bi se moglo desiti ako bi ti podaci dospjeli u pogrešne ruke. Jasno je da će u „worst-case“ scenariju (podaci su došli do konkurencije) šteta biti višestruko veća od procijenjenih 20 puta cijene prijenosnika. Ista se stvar može primijeniti i na prijenosne diskove i USB „flash“ memorije. Iz navedenog je jasno da bi organizacija koja bi mogla biti sigurna da podatke koji se nalaze na izgubljenom tvrdom disku nitko neće moći pročitati, višestruko smanjila svoje troškove nakon gubitka prijenosnika koji će se, ako je vjerovati statistici, dogoditi kad tad.

Idealno riješenje za zaštitu od navedenog scenarija je BitLocker. BitLocker je karakteristika koja omogućuje enkripciju cijelog volumena diska, a sve u svrhu prevencije takozvanih „Offline“ napada. Offline napad se izvodi tako da se računalo koje se napada podigne sa alternativnog operativnog sistema pa da se na taj način priđe podacima na disku ili da se disk jednostavno priključi na neko drugo računalo pa da se podacima priđe sa tog drugog računala.

Jedan od glavnih preduvjeta za korištenje BitLocker funkcionalnosti je postojanje TPM (Trusted Platform Module) čipa na matičnoj ploči računala. BitLocker koristi TPM za pohranu ključeva uz pomoć kojih šifrira i dešifrira podatke. Nakon što, uz pomoć verifikacije određenih „hash“ vrijednosti, TPM utvrdi da integritet startup procesa nije narušen, TPM otpušta ključeve uz pomoć kojih se dešifrira zaključana particija i operativni sistem se može podići. Ukoliko vaša ploča nije opremljena navedenim čipom, još uvijek imate mogućnost korištenja BitLocker-a i to uz pomoć „BitLocker without a TPM“ funkcionalnosti. Ako se koristi navedena opcija, sistem ključeve pohranjuje na USB memoriju, a ta memorija mora biti na dohvat sistemu prilikom boot-a.

BitLocker To Go je ekvivalent BitLocker-u s tom razlikom što BitLocker To Go šifrira cjelokupni sadržaj prijenosnih diskova tj. flash memorija. Šifrirani sadržaj USB memorije se može pročitati na bilo kojem računalu sa Windows XP operativnim sistemom ili novijim, ukoliko se zna lozinka za pristup.

BitLocker se aktivira uz pomoć „BitLocker Drive Encryption“ opcije u Control Panel-u ili uz pomoć grupnih (ili lokanih) polica. BitLocker To Go se aktivira isključivo uz pomoć polica. Važno je naglasiti da BitLocker ne može štititi podatke na računalu koje je potpuno aktivno. Ukoliko računalo koristi više korisnika, pravilno bi bilo koristiti NTFS dozvole ili EFS radi kontrole pristupa datotekama i mapama.

Windows Firewall

Sa Windows 7 operativnim sustavom, Microsoft je predstavio i donekle izmijenjeni vatrozid. Činjenica je da je vatrozid danas esencijalna aplikacija na računalu i da bi korištenje računala bez vatrozida bio znak krajnje aljkavosti i nemara. Koje su točno novine prisutne u novom vatrozidu u odnosu na prethodne edicije i dali je Microsoft uspio pomrsiti račune ostalim (komercijalnim) proizvođačima ovakvih aplikacija, pročitajte u nastavku.

Prva novost koju je ovaj vatrozid predstavio je mogućnost postavljanja posebnog mrežnog profila na svaku mrežnu konekciju. Ovu karakteristiku je Microsoft nazvao Network Location Awarness (NLA), a profili koje imamo na raspolaganju su: Home, Work i Public Network. Iako su i na Visti postojali profili (Private i Public), nije bilo moguće na svaku mrežnu konekciju postaviti posebna pravila vatrozida već bi se, ukoliko ste bili konektirani na više mreža (multihomed), na sve konekcije primjenjivala najrestriktivnija pravila. Osim navedenog, Windows 7 nam omogućuje da za pojedini profil u potpunosti onemogućimo vatrozid dok za sve ostale profile on ostane uključen. Ovo možemo konfigurirati preko opcije „Turn Windows Firewall on or off“.

Preko opcije „Advanced settings“ dolazimo do okvira koji nam omogućuje da maksimalno prilagodimo ovaj vatrozid svojim potrebama. Naime, na ovaj način otvaramo MMC konzolu sa „Windows Firewall with Advanced Security“ snap-inom. Ovdje možemo modificirati postojeća dolazna i odlazna pravila, a imamo i mogućnost kreirati potpuno nova pravila. Pravila se kreiraju uz pomoć prilično jednostavnih čarobnjaka. Ovu će mogućnost u pravilu koristiti nešto napredniji korisnici dok će oni manje zahtjevni preferirati opciju „Allow a program or feature through Windows Firewall“. Kod ove opcije se pojedinim aplikacijama dozvoljava ili zabranjuje prolaz kroz vatrozid za određeni profil.

Odmah po instalaciji OS-a, vatrozid će vam dozvoliti pretraživanje web-a korištenjem pretraživača dok ćete za većinu drugih aplikacija trebati kreirati posebno pravilo. Odlazna se pravila u principu kreiraju automatski tj. kada neka nova aplikacija želi izaći na Internet vi ćete dobiti upit o tome dali toj aplikaciji želite dozvoliti ili zabraniti prolaz. U ovisnosti o vašem odgovoru kreira se pravilo koje dozvoljava ili zabranjuje prolaz aplikaciji.

Još jedna izuzetno korisna karakteristika ovog vatrozida je i mogućnost logiranja svih događaja vezanih za vatrozid u posebnu log datoteku. Svaku aplikaciju koju želite savladati morate što više koristiti i s njom eksperimentirati. Ni ovaj vatrozid nije izuzetak od tog pravila. Opcija koja će vam dati određenu slobodu prilikom eksperimentiranja je „Restore Defaults“. Ovom opcijom imate mogućnost vraćanja svih postavki vatrozida na početne.

Dobra sigurnosna praksa nalaže da se svaka mreža na koju je računalo spojeno ima smatrati potencijalno opasnom pa bi se pravilno konfigurirani i aktivni vatrozid trebao nalaziti čak i na računalima koja su smještena unutar lokalne mreže i iza hardverskih vatrozida. S obzirom na svoje mogućnosti i cijenu (besplatan) ovaj vatrozid predstavlja idealno rješenje za manje zahtjevne korisnike, ali se zbog velikog broja konfiguracijskih mogućnosti ni zahtjevniji korisnici neće osjećati zakinuti.

Parental Control

Danas je vrlo važno biti informatički pismen. Zabraniti djetetu da koristi računalo bi značilo ozbiljno zanemariti djetetovo osnovno pravo – pravo na učenje i razvoj. S druge strane, dopustiti djetetu neograničeno korištenje računala i neselektivni pristup svim sadržajima koji se mogu pronaći na mreži svim mreža, bi značilo da prepuštate nekom drugom da odgaja vaše dijete. Kako pronaći zlatnu sredinu i uskladiti djetetovu potrebu za učenjem, a da istovremeno ne izgubite kontrolu nad svojim podmlatkom?

Prva i osnovna stvar koju je potrebno naglasiti je da ste vi kao roditelj ključna karika u odgoju vašeg djeteta i da su sve aplikacije i servisi koji su razvijeni za kontrolu i nadzor djetetovog korištenja računala, samo pomoćna sredstva koja vam mogu olakšati taj posao, a nikako vas potpuno zamjeniti u toj vašoj zadaći. Sa Windows 7 OS-om predstavljen je i novi alat koji olakšava roditeljski nadzor nad djetetovim korištenjem računala. Riječ je o Windows 7 Parental Control karakteristici.

Da bi navedenu karakteristiku mogli koristiti, prvo što trebate napraviti jest kreirati posebni korisnički nalog za svako dijete, a svoj (administratorski) nalog zaštititi lozinkom. Svoj nalog štitite lozinkom koju dijete ne zna jer ukoliko se dijete može prijaviti sa vašim nalogom sve što ćemo ovdje navesti pada u vodu.

Do Parental Controls okvira dolazimo preko istoimene ikone koja se nalazi unutar Control Panel prozora. Prvi prozor koji se otvara nam prikazuje sve korisnike za koje možemo postaviti Parental Control postavke. Pritiskom na dugme koje predstavlja željenog korisnika dobijamo prozor u kojem možemo aktivirati Parental Control za tog konkretnog korisnika i tri postavke koje možemo konfigurirati. Te tri postavke su:

– Time Limits

– Games

– Allow and block specific programs

Time limits postavka, kako joj i ime govori, omogućuje da definiramo vrijeme kada će se dijete moći logirati na računalo. Ukoliko se dijete pokuša logirati u vrijeme kada mu je logiranje nedopušteno, dobit će poruku o tome da njegov nalog ima postavljenu vremensku restrikciju koja mu ne dopušta da se prijavi.

Uz pomoć Games postavke, određujemo dali i koje igre dijete može igrati na računalu.

Igre koje su dozvoljene definiramo na temelju Game Rating oznake. Postoji više organizacija koje definiraju Game Rating za pojedinu igru, a možda najpoznatija je ESRB (Entertainment Software Rating Board). Windows 7 po predefiranim postavkama koristi ESRB, ali je moguće odabrati i Games Rating sisteme drugih organizacija. ESRB definira 6 kategorija igara: C, E, E10+ , T, M i A. Što koja oznaka znači i u koju kategoriju spada igra koju vaše dijete želi igrati, pogledajte na ESRB web sajtu (http://www.esrb.org/index-js.jsp). Ukoliko je igra zabranjena, a djete je pokuša pokrenuti, dobiti će poruku „Parental Control has blocked this game“.

Uz pomoć Allow and block specific programs opcije možemo spriječiti dijete da koristi pojedine aplikacije. Parental Control karakteristiku možete dodatno proširiti sa Windows Live Family Safety dodatkom. Navedeni dodatak dolazi sa Windows Live Essentials paketom koji besplatno možete preuzeti sa Microsofte stranice (http://explore.live.com/windows-live-family-safety?os=other). Uz pomoć navedenog dodatka možete ograničiti pristup pojedinim web stranicama i pratiti on-line aktivnost svog djeteta.

PcChip / Boris Plavljanić