Számos fontos újítás bújik meg az operációs rendszer motorházteteje alatt.
Az utóbbi körülbelül egy hét az informatikai sajtóban szinte másról sem szólt, mint a Microsoft múlt pénteken piacra került operációs rendszerének új grafikus felületéről, annak használatáról, az OS változatai közti különbségekről, továbbá a szoftverrel érkező, vagy hozzá tervezett hardverekről.
Ettől függetlenül meglehetősen elsikkadt egy igen fontos téma: ugyan a Windows 8 előnyeinek felsorolásakor mindig felbukkan a „fokozott biztonság" szlogen, ám sajnos a Microsoft nem igazán foglalkozott a téma pontosabb kifejtésével. Nézzük röviden, hogy miről is van szó!
Modern alkalmazások a homokozóban
A hagyományos felületűektől eltérően a Windows 8 modern alkalmazásai az RT névre hallgató keretrendszerben futnak, amely a népszerű mobilos operációs rendszerekhez hasonlóan egymástól teljesen elszeparáltan, egyéni homokozókban futtatja a programokat. Ennek előnye, hogy a modern szoftverek kizárólag szabványos belső programozási felületek (API-k) segítségével kommunikálhatnak egymással és az operációs rendszerrel, nem módosíthatják a nem hozzájuk tartozó állományokat.
Általánosságban véve a szoftverek csak azokhoz az erőforrásokhoz férhetnek hozzá, amelyek feltétlenül szükségesek a működésükhöz, ráadásul a felhasználó véletlenül sem tud olyan szintű jogosultságot biztosítani számukra, amellyel kárt tehetnének a rendszerben. Például a hagyományos felületen egy vírus „telepítőjének" véletlenül is lehetséges rendszergazdai jogosultságokat adni, modern programok esetében ugyanez nem kivitelezhető (plusz a metrós programokat az Áruházban való publikálásuk előtt átnézik a Microsoft munkatársai is).
ForceASLR
A Windows XP második szervizcsomagjának egyik újdonságát a DEP (Data Execution Prevention) jelentette, amely gátját vetette annak, hogy a számítógépes bűnözők által valahogy (például egy webböngésző sebezhetőségét kihasználva) a memóriába „injektált" kódokat a kompromittált folyamaton keresztül közvetlenül futtassa a számítógép processzora. Bekapcsolt DEP mellett csak írni és olvasni lehet a memóriát, annak futtatásra előzetesen nem megjelölt részeit nem hajlandó végrehajtani a processzor.
Ez a módszer sajnos csak megnehezítette a bűnözők dolgát: a bugoknak köszönhetően továbbra is képesek saját kódot juttatni a memóriába, más hibákat kihasználva pedig hozzáférhetnek olyan alacsony szintű rendszerfunkciókhoz, amelyeken keresztül utólagosan futtathatónak jelölhetik az ártó kódjaikat tartalmazó memóriacímeket.
Ezt kivédendő a Windows Vistában bemutatkozott az ASLR (Address Space Layout Randomization), amely a rendszerfunkciókat tartalmazó állományokat bootoláskor teljesen véletlenszerű helyre tölti be a memóriába. A fentebb vázolt támadáshoz a bűnözőknek tudniuk kell, hogy a memóriába gyorsítótárazott rendszerfunkciók mely memóriacímeken találhatóak, enélkül nem képesek hozzáférni azon függvényekhez, amelyekkel végrehajthatónak jelölhetnék a saját kódjaikat.
Sajnos az ASLR nem tökéletes, a legnagyobb problémáját konkrétan az jelenti, hogy a programozóknak nem kötelező használniuk, a megoldással nem kompatibilis szoftverek esetében egyszerűen nem működik a védelem. Éppen ezért a Windows 8-ban bemutatkozott a ForceASLR, amely ASLR-támogatástól függetlenül képes minden fájlt véletlenszerű memóriacímekre felírni, viszont kompatibilitási okból nem olyan hatékony, mint a „valódi" ASLR - ám ettől függetlenül nagyon fontos védelmi vonalról van szó. A Microsoft egyébiránt visszaportolta a Windows 7-be és a Server 2008 R2-be is a ForceASLR-t, konkrétan a KB2639308 jelű hotfix telepítésével adódik hozzá a rendszerekhez a funkcionalitás.
Szóra érdemes még a Windows 8 HEASLR (High Entropy ASLR) megoldása is, amely a sima ASLR-nél jóval hatékonyabban működik, ám a programozóknak külön támogatniuk kell.
Win32k.sys
A Windows 8 rendkívül hasznos újítása, hogy a grafikus felületű programoknak alapvető rendszerszolgáltatásokat nyújtó, a kernel részét képező win32k.sys meghajtóprogram használata teljes mértékben letilthatóvá vált a drivert nem igénylő folyamatok esetén, így a rengeteget támadott komponens valószínűleg minden eddiginél kevesebb problémát fog okozni a jövőben.
ELAM
A Windows 8 újdonsága, hogy az operációs rendszer bootolásakor elsőként mindig az ELAM (Early Launch Anti-Malware) meghajtó töltődik be, amely képes még az elindításuk előtt ellenőrizni a meghajtókat, így kiszúrhatja a rootkiteket és megakadályozhatja a futtatásukat. Részben egyébként ugyanezen célt szolgálja az UEFI-s alaplapok esetén alapvetően bekapcsolt Secure Boot opció is, amely a már megbabrált bootloader használatát tiltja le.
(Technet)
Figyelem! A tartalom legalább 2 éve nem frissült! Előfordulhat, hogy a képek nem megfelelően jelennek meg.
