UAC

Ha öt évvel ezelőtt azt mondjuk, hogy a Windows egy biztonságos rendszer, sokan megmosolyogtak volna minket. Tény, hogy ekkor a Microsoft eléggé nagyvonalúan kezelte a biztonsági szempontokat, de a Vistában már főszerepet kapott a rendszervédelem. Az idei Hacktivity egyik legnagyobb érdeklődéssel várt programja a Windows Vista biztonsági szolgáltatásainak elemzése lesz. Safranka Mátyás (Microsoft Magyarország) már a legutóbbi konferenciának is sikeres szereplője volt, de a mostani fellépése kétségtelenül fontosabb lesz: meg kell győzni a közönséget, hogy a Vista igenis az eddigi legbiztonságosabb operációs rendszerük. Ennek kapcsán kérdeztük.

A biztonsági szoftvereket fejlesztő cégek éveken keresztül bizalmatlanul figyelték, mit keres a Microsoft az ő szakterületükön? Tényleg, mi lesz velük, ha egy operációs rendszer alapból megoldja a szükséges és elégséges védelmet? Ha például a Windows már a vírusvédelmet is teljes körűen ellátná…

A Windows platformnak biztonságot kell nyújtania a felhasználó számára, hiszen a mai online világban ez már elengedhetetlen követelmény egy operációs rendszer számára. A külső gyártók szerepe az, hogy tovább bővítsék az alap operációs rendszer által nyújtott biztonsági szolgáltatásokat, vagy esetleg egy más megközelítésű megoldási alternatívát nyújtsanak. Bizonyos értelemben a Windows már most is ellát víruseltávolítási feladatokat is, hiszen a Windows Update-ről havonta automatikusan letöltődik és lefut a „Malicious Software Removal Tool”, amely a leggyakoribb vírusok felderítését és eltávolítását elvégzi. Ez természetesen nem helyettesíti a valós idejű vírusvédelmet, de nagyban hozzájárult ahhoz, hogy a telepített Windows rendszerek fertőzöttsége és a világhálón levő zombiszámítógépek száma csökkenjen. Valós idejű vírusvédelem integrálása az operációs rendszerbe jelenleg nem célja a Microsoftnak, hiszen mi magunk is rendelkezünk egy vírusirtást is ellátó biztonsági termékcsomaggal. Ez az otthoni felhasználóknak szánt LiveOne Care és a vállalati felhasználóknak szánt ForeFront Client Security termékcsomag.

Néha az volt az érzésünk a hihetetlen fejlesztési ráfordítások hallatán, hogy Redmonban átestek a ló másik oldalára… Miért érte meg ekkora pénzt áldozni a biztonsági elemekre?

Mint szállítónak célunk minél nagyobb biztonságot és megbízhatóságot nyújtani a felhasználóinknak, hiszen a Windows platform a legelterjedtebb operációs rendszer, és így a támadásoknak ez a leggyakoribb célpontja. A biztonságot mi nem egy addicionális szolgáltatásnak, hanem minden rendszer szerves részének tekintjük.

Beszéljünk talán a legfontosabb biztonsági elemekről! Az UAC, amely egy angol rövidítés kezdőbetűiből (User Account Control) származik, és a magyar verzióban Felhasználói fiókok felügyelete néven található, fontos része lett a Windows Vistának. Elég nehezen bukkanhatunk rá az engedélyezését vagy a tiltását beállító panelre, de talán jobb is, ha nem módosítjuk az alapbeállításokat. Mi volt a cél az UAC bevezetésével, és mennyire vált be ez a megoldás a gyakorlatban?

Már Windows XP esetében is jelentősen kisebb a rendszer támadási felülete, amennyiben a felhasználó nem rendszergazdai jogokkal jelentkezik be. A standard felhasználói jogokkal bejelentkező felhasználók nevében futtatott alkalmazások nem tudnak kárt tenni sem az operációs rendszerben, sem más felhasználók állományaiban. Azonban a Windows platformra fejlesztett szoftverek sok esetben – az ellátott funkciójukhoz képest indokolatlanul – igénylik az adminisztrátori jogosultsággal való futást. A Vistában megvalósított UAC tulajdonképpen ennek a helyzetnek a kezelésére született. A cél az volt, hogy a felhasználó standard jogokkal futtasson minden alkalmazást, azoknál viszont, amelyek rendszergazdai jogokat igényelnek, egyszerűen lehessen ezt engedélyezni. Ez azt jelenti – függetlenül attól, hogy a felhasználó rendelkezik-e rendszergazdai csoporttagsággal, vagy sem –, hogy a nevében elindított alkalmazások automatikusan nem fogják megkapni a rendszergazdai jogkört. A felhasználónak külön engedélyeznie kell, amikor a rendszergazdai jogaival élni szeretne. Ez lehetőséget biztosít neki, hogy eldöntse: egy adott alkalmazás élhet-e a rendszergazdai jogokkal. A User Account Control bevezetésével tehát e kettős cél valósult meg: a felhasználó rendszergazdai jogok nélkül is tudja futtatni az alkalmazásait, de ha szükséges, a lehető legkényelmesebb módon tud adminisztrátori jogokkal futó programokat is indítani. Ez egyben azt is jelenti, hogy minden esetben információt lehet kapni arról, hogy milyen rendszergazdai joggal futó alkalmazások indulnak el.

Az UAC egyébként még biztosít egy fájlrendszer- és regisztrációsadatbázis-virtualizációs lehetőséget is. Ennek segítségével könnyebben biztosítható olyan rendszerek kompatibilitása a Vistán, amelyek rendszermappákban vagy regisztrációs adatbáziskulcsokban végeznek írási műveleteket, és mindezt úgy lehet megvalósítani, hogy a rendszer integritását semmi sem veszélyezteti.

Az UAC természetesen semmilyen további védelmet nem jelent, így olyan rosszindulatú kódok ellen sem véd, amelyek a felhasználói jogokkal is futnak (például a felhasználó profiljában végeznek módosítást, adatgyűjtést, stb.). Ugyanakkor tudatában kell lennünk annak is, hogy a UAC-engedélyezések inkább kényelmi funkciók, és nem jelentenek az operációs rendszeren belüli biztonsági határokat. Ezek esetében biztonsági előírások definiálják, hogy mi haladhat keresztül a biztonsági határon. A bejelentkezett felhasználó nevében standard felhasználói jogokkal futó rosszindulatú kód és a felhasználó által engedélyezett adminisztrátori jogokkal futó alkalmazás is a felhasználó kontextusában fut, ahol nincs köztük biztonsági határ, mely garantálná, hogy a rosszindulatú kód hozzáférjen az emelt jogokkal rendelkező alkalmazáshoz. Az UAC kijátszásához azonban a rosszindulatú kódnak kifejezetten fel kell erre készülnie. Így az UAC bekapcsolása továbbra is növeli a rendszer biztonságát, de nem szabad erre mint védelmi vonalra építeni. Az UAC-ról és a limitációiról részletes leírást adott Mark Russinovich.

Hallottunk olyan szakvéleményt, hogy az UAC kikapcsolásával a Vista még az XP SP2 biztonsági szintjét sem éri el. Miért maradt meg akkor a kikapcsolás lehetősége?

Konkrét érvek ellen tudnék csak konkrét cáfolatokkal szolgálni. Összességében kijelenthető, hogy a Vista a UAC kikapcsolása esetén is jóval biztonságosabb a XP SP2-nél. A Vista tartalmazza a Windows XP SP2 által bevezetett biztonsági szolgáltatásokat, hiszen abból lett tovább fejlesztve. Ezen felül a Vista tartalmaz egy csomó olyan biztonságot növelő újdonságot, mint a szolgáltatások védelmének növelése, az autentikációs újdonságok, kernelváltozások, az ASLR, a BitLocker, a Windows Firewall és IPSec újdonságok, Network Access Protection, stb. A Vista architektúrájának már a tervezéstől fogva része a biztonság.

A cikk még nem ért véget, kérlek, lapozz!