 |
 Windows 7 - что нового
|
 |
 |
 |
28 августа | КАТЕГОРИЯ:Microsoft Windows |
Версия для печати
Выход новинки от Microsoft уже не за горами. Долгожданная операционная система под названием Windows 7 увидит свет уже в октябре 2009 года. Не секрет, что в этом продукте разработчик лишь продолжил начатое им в Windows Vista.
Какие возможности добавились в новой операционной системе? Изменений немало, и, поскольку, первыми, кому придется с ними столкнутся, будут технические специалисты, я расскажу об основных системных отличиях Windows 7 от ее предшественниц.
User Account Control
Люди, привыкшие работать с Windows Vista, первым же делом решат отключить порядком поднадоевшую технологию UAC (User Account Control). Но вместо этого можно просто настроить ее под свои свои нужды, тем более, что сейчас появилась такая возможность. У пользователя есть 4 варианта настройки защиты: от полного отключения UAC до уровня, который был единственно доступным в Windows Vista, - то есть максимального.
Сейчас поподробнее о каждом уровне:
1. Самый безопасный, верхний уровень - «Всегда оповещать при каждом изменении системы». К нему мы уже успели привыкнуть в Vista. UAC показывает сообщение в случае, когда мы вносим изменения на системном уровне (изменение параметров Windows, установка программ и т.д.)
2. Этот уровень Windows 7 предложит по-умолчанию – «Оповещать, только когда программа пытается внести изменения в компьютер». Сообщения не будут показываться при администрировании или при работе с панелью управления.
3. Уровень практически идентичный второму. Только оповещения появляются не на Secure Desktop, а просто на рабочем столе. В этом, несомненно, есть некоторая польза, но при его использовании у нечистых на руку программ будет больше шансов ответить на оповещение за вас.
4. И последний уровень – «Никогда не оповещать». UAC система отключена. Этот уровень система использовать не рекомендует.
Как и прежде, более серьезные настройки UAC можно найти в локальных политиках. В случае если используется несколько учетных записей, как, например, на корпоративных компьютерах, удобнее будет настроить службу UAC с помощью групповых политик. Допустим, вы хотите держать под контролем и в полной безопасности все компьютеры компании. Тогда UAC придется вам по вкусу и станет вашим хорошим помощником. При каждой попытке совершения администратором каких либо изменений на системном уровне, ему будет необходимо повторно ввести свой пароль. При этом обычному пользователю будет отказано в совершении серьезных изменений.
Для настройки такого поведения нужно в параметрах безопасности в разделе групповой политики «Конфигурация Компьютера» изменить следующее:
«Контроль учетных записей: Все администраторы работают в режиме одобрения администратором» - это включение или выключение UAC для всех пользователей. Следует выставить этот параметр в состояние «Включен»
«Контроль учетных записей: Режим одобрения администратором для встроенной учетной записи администратора» - включает или отключает функционирование UAC для встроенного администратора.
Теперь займемся пользователем. «Контроль учетных записей: Поведение запроса на повышения прав для администраторов в режиме одобрения администратором». Здесь поставим «Запрос учетных данных на безопасном рабочем столе». Следующий параметр — «Контроль учетных записей: Поведение запроса на повышения прав для обычных пользователей». Для него выбираем «Автоматически отклонять запросы пользователей».
Пример приведен достаточно строгий. Несомненно, каждый может настроить этот сервис полностью по своему вкусу и в соответствии с требованиями к безопасности на предприятии.
Bitlocker
Компания Microsoft с давних пор проявляет интерес к безопасност, и с каждой версией продукта выпускает что-то новое, призванное защитить наши компьютеры. Такой новинкой еще в Windows Vista стала технология Bitlocker нацеленная на защиту мобильных компьютеров. Ведь именно они наиболее подвержены кражам и, в более редких случаях, - потерям. Зачастую на них хранится достаточно ценная информация, потеря которой может принести убытки, а в некоторых случаях, даже поставить под угрозу существование компании.
Bitlocker позволяет зашифровать диск с операционной системой, а загрузочные файлы помещает в специально отведенный под эти цели раздел. В первом выпуске Windows Vista размер раздела должен был быть не менее 1,5 гигабайта и создавать его приходилось самостоятельно. В Vista Ultimate это неудобство было упразднено и для создания раздела можно было использовать утилиту, которая справлялась с задачей самостоятельно.
В Windows 7 размер раздела для загрузочных файлов сократился до 100 мегабайт, и создается он автоматически при установке операционной системы.
Еще одним удобным усовершенствованием технологии Bitlocker в Windows 7 по сравнению с Windows Vista стало то, что теперь можно зашифровать любой раздел, не зашифровывая перед этим раздела с системой.
Но основным изменением Bitlockerа стало появление функции Bitlocker ToGo. Каждому приходилось хоть раз в жизни забывать флешку на работе или терять ее. Именно поэтому и была создана технология Bitlocker ToGo. С его помощью можно зашифровать любой носитель данных, подключаемый через порт USB, причем поддерживаются как файловая система FAT, так и NTFS. Время шифрования зависит от объема носителя, а не от количества данных на нем. Доступ к зашифрованной информации предоставляется посредством ввода PIN-кода, который вы сами и задаете.
Но полноценно работать с зашифрованным носителем вы сможете только в Windows 7 или Windows 2008 R2. В других версиях Windows, таких как Vista или XP вы будете иметь возможность только лишь прочитать информацию, и то если зашифрованный носитель имеет файловую систему FAT.
Расширенная настройка Bitlocker ToGo осуществляется через групповую политику: «Конфигурация Компьютера – Административные Шаблоны – Removable Data Drivers».
Перевод их на русский язык пока отсутствует.
- Позволить или запретить использование смарт-карты для аутентификации хозяина зашифрованного носителя можно с помощью параметра «Configure use of smart cards on removable data drives»
- Запретить запись на незашифрованные носители, то есть сделать их доступными только для чтения поможет параметр «Deny write access to removable drives not protected BitLocker»
- Разрешить или запретить доступ на чтение зашифрованной информации на компьютерах работающих под операционными системами Windows 2008, Windows Vista, Windows XP SP2 можно с помощью параметра «Allow access to BitLocker— protected removable data drives from earlier versions of Windows»
- Установить длину и сложность пароля можно с помощью параметра «Configure password complexity requirements and minimum length»
- Очень важный параметр, с помощью которого определяется то, как будет восстанавливаться информация при потере PIN-кода – «Choose how BitLocker-protected removable drives can be recovered».
Выпуском Bitlocker’а Microsoft подтолкнет пользователей на более быстрый переход на Windows 7. Ведь только при использовании новой операционной системы повсеместно можно будет в полной мере прочувствовать удобство новой технологии.
Windows XP Mode
Основная проблема по которой Windows Vista не сыскала большую популярность у корпоративных клиентов – совместимость приложений. Конечно же, те производители ПО, у которых эта деятельность поставлена на широкую ногу, сразу же выпустили обновления для новой ОС. Но вот программы, созданные самостоятельно или под заказ, по разным причинам не всегда могли быть приспособлены под Vista. Решением в данной ситуации служил Application Compatibility Toolkit, который не всегда был способен справиться с проблемой совместимости.
В Windows 7 эта проблема будет решена другим способом. И способ этот называется Windows XP Mode. При необходимости его использования нужно будет скачать образ Windows XP SP3 и установить на него нужное ПО. Причем при работе с программой, установленной на виртуальной машине, не нужно будет перед ее запуском запускать виртуальную машину. Достаточно кликнуть по иконке программы и все необходимое для ее работы запустится самостоятельно.
Windows Virtual PC позволяет установить Windows XP, Windows Vista, Windows Vista 7, Windows Server 2003/2008 и 2008R2 32-битных версий. Причем к виртуальной машине может быть подключено абсолютно любое USB устройство без каких-либо ограничений.
Однако для работы с Windows Virtual PC необходимо будет наличие у процессора аппаратной поддержки виртуализации (Hardware Virtualization Technology), которой нет в бюджетных моделях процессоров. Также, неясно как будет решен вопрос с лицензированием образов операционных систем.
AppLocker
Еще одно новшество, призванное заботиться о безопасности компьютера в неопытных руках – AppLocker. С помощью этого нововведения можно создать черные списки программ. При этом пользователь не сможет запускать те программы, которые находятся в этом списке. Использование белого (разрешающего) списка позволит четко определить те программы, которые сможет запустить на компьютере пользователь. Cписки могут быть составлены для разных типов файлов: исполняемых, установщиков, сценариев и библиотек .dll.
AppLocker позволяет задавать правила на издателей, которые зашифрованы в цифровых подписях приложений. Благодаря этому, можно не изменять правила при установке новой версии какой-либо программы. Допустим, мы создали правило на разрешение запуска Microsoft Word текущей версии подписанную издателем, то есть Microsoft. Потом вышла новая версия, и мы ее установили на компьютер. Правило продолжит действовать и для новой версии приложения.
Параметры, установленные в AppLocker по-умолчанию позволяют пользователям запускать приложения, находящиеся в папке Program Files или в папке Windows, а администраторам – запускать программы из любой папки компьютера.
Но как же поступить, если нужная программа находится, например, в папке FOLDER? Если создать правило, которое позволит запускать программы из папки FOLDER, то умный пользователь сможет запускать «неподобающие» программы просто копируя их в эту папку. Первый вариант – это создать правило, которое будет разрешать запуск нужной программы на основании ее хэша. Но в этом случае, при обновлении программы, придется менять и разрешающую запись, так как хэш программы поменяется. Гораздо удобнее в этой ситуации будет прибегнуть к методу описанному выше. Создаем правило на издателя, и тогда все последующие версии программы будут разрешены для запуска. Возможна установка этого правила с разными уровнями безопасности: разрешение только для текущей версии приложения, разрешение на любую версию приложения и разрешение на любой продукт выбранного издателя. Для работы AppLocker должна быть запущена служба «Удостоверение приложения» с запуском в автоматическом режиме.
Как и в прежних версиях операционной системы, в Windows 7 доступны политики, направленные на ограничение использования программ (SPR). А вот технологию AppLocker смогут опробовать только пользователи версии Enterprise. В остальных версиях внедрения этой технологии не ожидается.
Описанные в статье новшества – это далеко не полный список того, что нас ждет с выходом новой операционной системы под названием Windows 7. Нас порадует технология Direct Access, позволяющая подключаться к корпоративной сети удаленно без VPN подключения. Функция Offline Domain Join, которая предоставит возможность добавления компьютера в домен не соединяясь с контроллером домена. Система BranchCache позволит кэшировать данные, полученные с удаленных файловых веб-серверов в сети филиала или непосредственно на компьютере пользователя. Windows 7 обещает нам много нового и полезного, и, к счастью, у нас еще есть несколько месяцев на то, чтобы разобраться в том, как это все работает, чтобы мы могли встретить новинку в полной готовности.
Комментарии закрыты.