Proč má Aero takové hardwarové nároky? Proč se systém neustále dotazuje na administrátorské heslo? Jak bude fungovat OpenGL? A lze i nadále obejít administrátorské heslo? Nejen na tyto otázky odpovídal Martin Žugec, certifikovaný Microsoft Most Valuable Professional.
Na vaše otázky k bezpečnosti Windows Vista odpovídal Martin Žugec. Martin Žugec je MVP (Microsoft Most Valuable Profesional) a specializuje se na deployment, spyware, skriptování a WinInternals. Účastní se např. meetingů WUG, Technet konferencí a na IT Fóru v Barceloně v rámci sekce „Ask the expert“ radil účastníkům fóra v oblasti nové generace MS Shell – Monada.
V tomto článku najdete otázky a odpovědi týkající se tématu rozhovoru. Některé dotazy a odpovědi jsme kvůli přehlednosti zkrátili, jiné rozdělili do více částí. Některé otázky se opakovaly a v takových případech byly zpravidla zodpovězeny jen jednou. Originální verzi rozhovoru najdete na této stránce.
Odpovědi na otázky čtenářů Živě.cz
Je-li nutné doinstalovat k WV i firewall, antivirus a některé programy na *ware ochranu, oč je WV bezpečnější než WXP? (Roman Secret)
Martin Žugec: Nutné to není.
Firewall je integrovaný již od WXP. Osobně jsem před několika lety přestal používat externí FW – prostě k tomu nevidím důvod (a poslední virus se na nějaký můj počítač dostal naposledy v roce 1999).
AV se bohužel do WV již nedostal, ale podle mého názoru v dnešní době již nutný není. Hlavní bezpečnostní problémy vidím ve spyware/spamu – viry už dnes příliš v kurzu nejsou. To ale neznamená, že AV odsuzuji, akorát podle mne již netvoří jednu z posledních linií ochrany.
Spyware, na to je přeci Windows Defender.
Jaké bezpečnostní změny byly vlastně ve WV provedeny? Píšete, že běžný uživatel již nemá administrátorská práva, ale může např. aktualizovat systém, instalovat programy (i když instalovat by je měl administrátor) a provozovat starší software, vyžadující administrátorský účet? Je neustálé vyptávání WV na administrátorské heslo ono propagované zvýšení bezpečnosti? Nebo byly provedeny i jiné změny (např. běží systémové služby pod administrátorskými právy či pod jiným uživatelem)? Může běžný uživatel stále zasahovat do systému nebo je důsledně oddělen od uživatele jako třeba v unixových systémech? (Ondřej Prokop)
Martin Žugec
: Změn bylo hodně, např. zrovna co se týká služeb. Ty se chovají úplně jinak. Již u WXP SP2 byly rozdělené (neběžely pod local system, ale network system atd.). U WV šli dále a u každé služby zjišťovali, kde přesně potřebuje práva ke čtení nebo zápisu, a podle toho provedli úpravy. V chování je to vidět celkem pěkně, služby již mají SID a nemají automatický přístup všude.
Mluvíme-li o pop-up hlášení – chtěl jsem mít možnost, jako je Snooze pro Outlook, tj. přepínat se mezi dvěma módy (klidně časově omezeno). Bohužel to nebylo schváleno právě proto, že to omezuje bezpečnost. Pokud se podíváte na blog Technetu, tak bod číslo čtyři vyjadřuje můj názor. Občas je tak přílišná snaha o bezpečnost na škodu.
MS ve WV představil technologii Aero, což je mimochodem implementace desktopu nad 3D grafy. Co mne ovšem zaráží, jsou HW nároky, které MS požaduje pro provoz WV. Měl jste někdy možnost zhlédnout konkurenční řešení ve světě Linuxu (Beryl + AIXGL/XGL), které má velmi malé HW nároky? Kde je problém? (Sam)
Martin Žugec
: Celkem to sleduji (můj bratr je vývojář v Suse). Hlavní rozdíly jsou dva.
První je v tom, že grafické jádro neběží na kernelu – hlavní výhody se ukáží časem, předpokládám tak za rok až dva.
Druhý je v tom, že grafiku zpracovává u WDDM GPU a ne CPU. V dnešní době se to jeví jako nevýhoda, ale za pár let se podle mne ukáže, že se jedná o krok správným směrem.
Pro mne osobně byla zajímavá přednáška od chlapíka, který dělá šéfa designérům MS, ukazoval totiž „WOW“ efekty. Nazývají se tak efekty, které se na první pohled takřka každému líbí, ale když je vidí celý rok denně, začnou ho strašně otravovat. Design WV byl vytvořený tak, aby sice vypadal pěkně, ale přitom nebyl přehnaný. Compiz/Beryl +AIGLX je rozhodně velmi zajímavá technologie, ale důležitá je spíš architektura – výhody WPF se projeví, když na něho začnou být psané aplikace. AIGLX+Beryl sice pěkně vypadá, ale z pohledu architektury je to bohužel (na rozdíl právě od AERA) akorát eye-candy.
Četl jsem větu, kterou pronesl Mahátma Gándhí: „Nejdříve vás ignorují, pak se vám smějí, pak s vámi bojují a nakonec prohrají.“ Je tu určitá paralela mezi Windows a Linuxem – co myslíte, v které fázi se nacházíme? (Sam)
Martin Žugec
: Asi ve fázi, která je nejlepší pro koncové uživatele, tj. ve fázi boje. Ale s tím posledním bodem příliš nesouhlasím, spíše to optimisticky vidím na takový věčný souboj (tedy aspoň doufám, že to nebude jako v případě Highlandera, který má zůstat jen jeden).
Linux má silnou stránku v tom, že byl dobře navržen, a nyní se dostává ke koncovým uživatelům. Microsoft na druhou stranu OS vytvořil tak, aby se dostal k co největší skupině uživatelů (stačí si vzpomenout na cenu za MS-DOS, která byla v porovnání s jinými OS té doby úplně směšná). Teď se snaží svoje produkty stabilizovat a zrychlovat.
Takže já to vidím tak, že oba dva produkty jsou v dnešní době více méně vyrovnané. Jenže zatímco Microsoft si hned od začátku vytvořil obrovskou základnu zákazníků, Linux o ně přišel. A s ohledem na to, že Microsoft se stále zlepšuje, má zodpovědnější přístup k tomu, co vytváří. Nemyslím si, že by uživatelé začali od něho masově odcházet.
Rozdíl je v tom, že Microsoft se na IT dívá jako na byznys – já si ale myslím, že to je úhel pohledu. A při rozhodování o SW by vždy měl být někdo, kdo ve skutečnosti počítačům nerozumí (protože se začne ptát, kolik to stojí, jaký to bude mít přínos a podobně).
Oboje se přibližuje ke stejnému bodu, ale z filozofického hlediska mají k problematice úplně jiný přístup. Jako informatikovi je mi bližší přístup Linuxu, jenže jako člověku z praxe, který se tím musí živit, mi víc vyhovuje (praktičtější) pohled Microsoftu.
Kdy bude Microsoft Technet? Mám více otázek na Martina, jen se to sem ale nehodí. (Marek Blazicek)
Martin Žugec
: Netuším (ani zda mne pozvou jako přednášejícího), ale někdy v březnu zase začnu přednášet (dal jsem si pár měsíců pauzu). První přednáška bude o PowerShellu na WUG střetnutích, takže se můžete zeptat na něj.
Nepřipadá vám humbuk kolem DRM směšný? Microsoft díky tlakům ze strany vydavatelů zabuduje do svého systému různé ochrany, a výsledek? Například HDDVDBackup? Neschopnost přehrát některá média přiměla človíčka poohlédnout se po specifikacích dostupných volně na internetu a napsat kód v Javě, který ochranu proti kopírování HD-DVD prostě obejde. (Sam)
Martin Žugec
: Můj názor nejlépe vyjadřuje tento komentář.
Byl jsem na konferenci Microsoftu o programování pod WV. Během konference Visual Studio několikrát spadlo, pokud se pod WV otevřely více než 4 okna, „sekala“ se i myš. Potom spadlo celé WV a Microsoft byl donucen spustit WXP. Proč tedy mluvíte o bezpečnosti WV, když to vlastně vůbec nefunguje? (Peta)
Martin Žugec
: Otázka je, jaké VS (Orca) a který build WV? U Visty bylo hodně vidět odd/even, tj. jeden build byl extrémně nestabilní a další byl úplně v pohodě – a tak se to cyklicky opakovalo. RTM je díky bohu v pořádku.
Jak odolá reset (změna) admin hesla bootCD? Jestli ne, tak už se o bezpečnosti nemusíme bavit. Bude se ve WV vyskytovat opět nějaký firewall? A co třeba ochrana proti škodlivému softwaru? Bude propracovanější? Neuvažuje Microsoft o nějaké bezpečnostní nadstavbě pro nás majetnější, nebo to bude opravdu zabezpečené pro všechny stejně? I kritické záplaty budou pro všechny? NTFS file system, z něhož vychází bezpečnost, je podobný verzi na WXP? (František Zapeklitý)
Martin Žugec
: Reset BitLocker – podle mého názoru to byla doposud největší mezera v zabezpečení Windows.
Co člověk od FW požaduje? Mně osobně bohatě stačí FW ve WXP SP2, ve WV ho ale ještě celkem slušně upravili (FW + IPSec).
Vylepšená ochrana proti škodlivému SW zde je (implementace SAFERu a pár stovek dalších věcí).
Za nadstavbu se dá považovat OneCare (AV + FW + AntiSpy + pár drobností), za které se dá připlatit.
Kritické záplaty jsou pro všechny, já osobně jsem za to bojoval, když to na chvilku změnili, protože zoombie systémy poškozují všechny.
NTFS je v novější verzi, ale už NTFS ve WXP věděl v podstatě všechno, co od něho člověk mohl chtít (včetně věcí, jako jsou hard/softlinky apod.). Nová verze hlavně přináší transakční FS (ACID file system), který, pokud vím, nemá ve světě obdoby. Proto je celkem škoda, že o tom Microsoft mlčí. (Ale zase to chápu, není to informace, která by běžného uživatele zajímala.)
Aby byl Microsoft Windows použitelný na internetu, je třeba věnovat jeho nastavení opravdu spoustu času a mít k tomu potřebné znalosti. Jinými slovy, po instalaci jsou WXP pro okolní svět zcela otevřená jako vrata do stodoly, tj. pro obyčejné uživatele s ohledem na bezpečnost zcela nepoužitelná. Zajímalo by mne, jestli už konečně WV tuto nemilou situaci v bezpečnosti mají nějak vyřešenu. (Miroslav Marek)
Martin Žugec
: Co se týká zabezpečení, tak WV hodně pokročila od WXP SP2 (drtivá většina bezpečnostních problémů byla ve WXP SP2 vyřešena). Pokud vás zajímají podrobnosti, doporučuji Windows Vista Security článek, který jsem psal pro Microsoft Technet.
Jak byste stručně popsal inovace, které WV přináší v oblasti síťového zabezpečení ve srovnání s WXP? (Pavel Dohnalem)
Martin Žugec
: Tak to je až příliš všeobecný dotaz. Zajímají-li vás podrobnosti, doporučuji opět Windows Vista Security článek.
Slyšel jsem, že WV má „překopané“ jádro, což by se mělo projevit ve vyšší bezpečnosti. Jaké změny byly vytvořeny, případně co vše bylo vylepšeno? Bylo v zájmu bezpečnosti něco z nového operačního systému vypuštěno (co by se mohlo projevit třeba i v částečné nekompatibilitě se staršími OS)? Hodně se také mluvilo o smlouvě Microsoftu s Novellem, co může běžný uživatel čekat od této spolupráce? (Jaroslav Šilhán)
Martin Žugec
: Pokud vás zajímají podrobnosti, doporučuji Windows Vista Security článek, který jsem psal pro Microsoft Technet.
Ohledně odstraněných komponentů doporučuji Wikipedii. Rád bych ale upozornil na Application Compatibility Toolkit 5.0 – moje zkušenosti jsou, že zatím se s nimi podařilo vyřešit 99 procent problémů s kompatibilitou.
Třetí otázka je nejsložitější. Podle mě tím Microsoft získal, protože dokázal, že podporuje open-source komunitu (což zkusil již několikrát, ale vždy bez velké publicity). Zároveň má Microsoft výhodu v tom, že dokáže mnoho firem, které chtějí používat nebo používají Win/Lin řešení, usměrňovat. Novell tím získal to, že díky spolupráci dokáže lépe propojit OpenOffice s MS Office a zároveň získal výhodu před ostatními linuxovými společnostmi. Současně mají obě strany aspoň částečnou ochranu před žalobami kvůli porušování patentů. Já osobně od této spolupráce očekávám poměrně hodně – i když to ne všichni uznávají. Jak Linux, tak i Windows mají svoje kladné stránky. A proč si Microsoft vybral právě Novell? Protože ze světa Linuxu je to firma, která se asi nejvíce orientuje na byznys a kromě toho je celkem viditelně zaujatá implementací Mona (tj. neodmítají vše jen proto, že je to od Microsoftu).
V čem vidíte největší přínos WV pro uživatele z pohledu úspory času při práci s PC oproti WXP? (Martin Němec)
Martin Žugec
: I když si to ne každý uvědomuje, největší přínos bude asi ve skutečnosti indexování dat a možnost jednoduché modifikace vyhledávacích služeb.
Windows Defender likviduje jen vybrané objekty, co se nelibí Microsoftu, ne vše. Třeba Gagot či jeho komponentu Precission Time nepozná. Počáteční verze ho likvidovaly, ale najednou tento spyware nezná a tváří se, jako by nic. Co vy na to? (soukromník)
Martin Žugec
: Ona to bohužel není příliš pravda. Pokud jste náhodou byl na přednášce o spyware, zabýval jsem se hodně tím, že boj se spywarem je více než technickou otázkou záležitostí právníků. Gagot (Claria) je jedna z největších a nejbohatších spyware společností na trhu. Mimo jiné EULA tohoto produktu vysloveně zakazuje odstranění pomocí automatizovaných nástrojů – tím pádem vás Defender může upozornit na to, že se Gagot na PC vyskytuje, ale nesmí ho odstranit. Na Gagot se celkem vyplatí podívat k Benovi Edelmanovi (právník zabývající se spywarem).
Očekáváte certifikaci WV dle Common Criteria? Pokud ano, na jaký stupeň? (Martin H.)
Martin Žugec
: Pokud vím, tak WV je na tom s certifikací až překvapivě dobře, EAL4+ je nejvyšší ?úroveň, jakou kdy komerční produkt dostal. Jenže osobně se podle certifikací příliš neorientuji.
V jedné z vašich odpovědí jste napsal, že ve WV nebude uživatel administrátorem. Tomu přesně nerozumím. Znamená to, že nebudu mít plné právo na WV, jako je tomu u WXP? Jaké části tedy pro mne, jako uživatele, nebudou přístupné? (Jaro)
Martin Žugec
: Jedná se o MIC (Mandatory Integrity Control). Funguje to tak, že OS je přímo napsaný tak, aby podporoval security flagy, které mu umožňují přístup k jednotlivým částím OS.
Jednoduchý příklad – spustíte hodinky, ty běží v Low MIC módu. V případě, že chcete čas změnit, hodinky se přesunou do jiné MIC. Na to jsou ale nutná vyšší oprávnění. Proto, pokud jste administrátor, musíte potvrdit, že s akcí souhlasíte. A pokud jste jen user, musíte poskytnut heslo administrátora. Jediný účet, který se chová tak jako administrátor ve WXP, je zabudovaný (lokální) účet administrátora.
Na internetu jsem nalezl utilitu Offline Password & Registry Editor. Je to poměrně mocný nástroj, který slouží k editaci, případně k vymazávání hesel W2K a WXP. Poměrně jednoduchým způsobem tak lze PC vytunelovat. Je WV odolná vůči tomuto útoku? (Karel Novák)
Martin Žugec
: Takovýchto nástrojů je vícero. Od toho je právě technologie BitLocker, která všechny tyto útoky (aspoň zatím) blokuje i bez použití TPM modulu.
Co uděláte proto, aby po síťové stránce byla WV méně děravá, než je tomu u WXP v současnosti? Proč raději nepoužijete základní platformu Linuxu a nepostavíte na tom stabilní systém? (doctorX)
Martin Žugec
: Po pravdě k tomu nevidím žádný důvod. Již pár roků (resp. od WXP SP2) považuji Linux a Windows za stejně bezpečný s tím, že každý systém má svoje klady a zápory. Co přesně rozumíte pod děravými WV? Po síťové stránce WV přináší hodně novinek – já osobně jsem nejvíce zvědavý, jak se uplatní nový Wi-Fi Stack a hlavně zda konečně umožní lepší používání Wi-Fi sítí, protože v tomto ohledu nefungoval (při masovém nasazení) ani jeden OS podle mých představ. Virtuální Wi-Fi sítě tuto situaci snad konečně zlepší.
Jak to bude ve WV s OpenGL? Je pravda, že volání OpenGL budou mapovaná na DirextX? To by znamenalo zpomalení výkonu. Budou muset výrobci vytvářet vlastní implementaci OpenGL? (CX)
Martin Žugec
: Je to a není to pravda. Starší verze Windows OpenGL nativně nepodporovaly, což WV již dělá. Takže WV (a to je novinka) standardně podporuje OpenGL.
Implementace je následující. MS OpenGL – jedná se OpenGL 1.4, tu je to právě mapované na Direct3D. Vendor ICD – identická správa jako ve WXP. WV ICD – kompatibilní s desktopem, povoluje přímý přístup ke GPU, ale zároveň se zakomponuje do WDM. Celkem dobré informace se k tomuto problému vyskytovaly na Kamově blogu. Jinak při OpenGL se unloaduje desktop, což je právě celkem příjemné pro výkon, hlavně se ale pro to musí začít psát korektně aplikace, a to ještě chvilku potrvá.
Zlepšila se ochrana ve WV vůči Buffer Overflow? (haluznik)
Martin Žugec
: Buffer Overflow byl vyřešený již ve WXP SP2. Jednalo se buď o použití Cookie (SW), anebo nativní podporu HW technologií.
Jaký používáte ve Windows Shell namísto Explorer.exe? Co byste doporučoval? Je to výhodné z hlediska bezpečnosti a z hlediska přiměřené uživatelské přívětivosti? (Karel Hašpica)
Martin Žugec
: Experimenty se Shellem mne již dávno přešly. Používám klasický Explorer. Ale konzoly používám v kombinaci CMD + PowerShell + PSAnalyzer. Na editování skriptů pak modifikovaný CrimsonEditor. Na zpříjemnění práce to ještě doplňuji: TaskSwitchXP (umožňuje přes „right-click“ na „minimize button“ minimalizovat všechny aplikace do SysTray), Qliner Hotkeys (umožňuje přiřadit aplikace na klávesové zkratky ?s WinKey) a ještě klasický Total Commander. Jednu dobu jsem využíval i virtuální pracovní plochy. Časem mě to ale přešlo a již jsem se k tomu nevrátil.
Do WXP se dá bez znalosti jména a hesla přihlásit (pomocí různých nástrojů) k účtu administrátor do dvou minut. Třeba pomocí programu Offline NT Password & Registry Editor. Stačí jen nabootovat z CD a „pětkrát stisknout Enter“. Funguje to tuším tak, že program přepíše lokálně uložené otisky hashovaných hesel otisky vlastními. Lze tomu zabránit jedině přihlašováním do domény nebo možná použitím EFS. Jak je řešena správa hesel lokálních uživatelů ve WV a jak se tomu dá zabránit ve WXP? (Danny S)
Martin Žugec
: Zjednodušeně jste princip popsal správně. V doménách se tento problém příliš nevyskytuje a momentálně proti němu neexistuje (pro WXP a starší) ochrana, tedy kromě řešení třetích stran.
Ve většině firem se to obchází ?tzv. honey-potom (účet administrátor je přeměňuje např. na R2D2 a vytvoří se fake účet s názvem administrátor, který ale nemá prakticky žádná práva), případně jiným osekáním práv lokálního administrátora. Jenže RID (relativní identifikátor) 500 pro tento účet stále zůstává (EFS bohužel jako ochrana nepomáhá, stejně tak SysKey je v tomto případě prakticky na nic).
Ve WV se to řeší BitLockerem, což je technologie, která těmto změnám zabraňuje. Útočník se tak do počítače nedostane bez PINu, případně TPM modulu nebo se detekují offline změny na partition, kde je WV nainstalována.
