.:!:. KIMIANETWORKS .:!:. - ويژگى هاى امنيتى جديد در ويستا

احتمالاً UAC يا User Account Control جديدترين ويژگى امنيتى اين محصول است. قسمت عمده malwareهاى امروزى كاربران را ملزم ساخته اند كه با اختيارات Administrator متصل شوند. متأسفانه دلايلى وجود دارد كه بسيارى از كاربران امروزى همواره به عنوان Administrator متصل شوند. UAC مانع بروز اين مشكل مى شود. اين برنامه اغلب برنامه را در يك محيط محدود تر اجرا مى كند (در واقع اين محصول گسترش Restricted SID است كه در XP امروزه در دسترس است)، حتى وقتى كه كاربر يك Administrator است. به عنوان مثال، اگر شما به عنوان Administrator متصل شده ايد، Internet Explorer Session شما همچنان به عنوان يك كاربر غير Administrator اجرا مى كند. براى اجراى وظايف سطح اجرايى شما بايست كه رمز ورود خود را مجددا وارد نماييد. در يك نوت مرتبط امتياز جديدى در حال اضافه شدن مى باشد، به نحوى كه كاربران غير Administrator بتوانند تنظيمات ساعت محلى سيستم را تنظيم نمايند. براى كاربران در حال سفر اين ويژگى بسيار خوشايند مى باشد.نرم افزار Antispyware شركت مايكروسافت در ويندوز ويستا ادغام شده است، اين كار احتمالاً مانع اجراى بيشتر انواع maleware مى شود. ويژگى هاى هدايت مجدد رجيسترى لايه اى اضافى براى محافظت در مقابل انواع maleware ايجاد مى كند. برنامه هاى pre-vists) Legacy) كه قرار است مستقيماً براى انواع System Registry Location نوشته شود، در عوض براى انواع رجيسترى مجازى به صورت شفاف هدايت مجدد مى شود. ويستا همچنين Secure Startup را در اختيار دارد. در نسخه هاى Enterprise اين ويژگى به آن معنا است كه كل درايو سخت را مى توان پيش از بوت كردن رمزگذارى نمود و كليد رمز گذارى با امنيت تمام در يك چيپ Trusted Platform Module در مادربورد ذخيره مى شود. بسيارى از روش هاى به كار رفته براى كوتاه كردن مجوزهايى كه از ديسك هاى بوت NTFS-aware استفاده مى كنند ديگر جايى براى كاربرد ندارند. روش هاى پيشرفته اى براى همه ويراستارى وجود دارد، از جمله توانايى كليك خاموش كردن برنامه هاى خارجى (مثل Sniffe) در زمانى كه يك نوع اتفاق خاص شناسايى شود. به علاوه شما پشتيبانى پيشرفته اى براى مكانيسم هاى احراز هويت غير رمز ورود نيز خواهند داشت. از جمله اين مكانيسم هاى بدون رمز مى توان به (كارت هاى هوشمند، دستگاه هاى خواننده اثر انگشت و غيره اشاره نمود) در اين رابطه كليدهاى EFS يا Encrypting File System را مى توان در انواع كارت هاى هوشمند ذخيره كرد. اينبار خدمات ويندوز، كه اغلب يك نقطه ورود براى انوع buffer Overflow و انواع malware است، سخت تر خواهد شد. هر چند ويستا خدمات بيشترى نسبت به همه نسل هاى قبلى خود دارد، بيشتر آنها در Local Service و متون Network Service (به جاى Local System) اجرا مى شوند، به علاوه يك نظارت كامل كد و باز نويسى خدمات آسيب پذير نيز وجود دارد. هر كدام از اين خدمات SID خود را گرفته اند، كه انواع مجوز، امتيازات و زمينه هاى فايروال را ارائه مى دهد در هر كدام از اين خدمات وجود دارد. مايكروسافت يك ويژگى مجوزى جديد access control entry) NTFS ACE) را به محصول ويستا اضافه كرده است. اين ويژگى انواع مجدد granular را پيش پيش تنظيم مى كند تا براى انواع Object و صاحبان آنها از پيش تعيين كند. اخيراً مجوزهاى NTFS را مى توان به گروه Creator Owner اعطا شود. اين مجوز ACE جديد درست بر عكس است، اين مجوز اجازه مى دهد Creator Owner يك اصل امنيتى ديگر دريافت نمايد. گروه Power User كم ارزش مى شود و يا به كل حذف مى شود. فايروال ويندوز سدسازى خارج از باند را انجام مى دهد و اين نسخه جديد كاربر را هنگامى كه يك برنامه نامشخص بخواهد با يك محل اينترنت تماس بگيرد و يا مى كوشد خدمات شنيدارى به راه بياندازد اين فايروال كاربر را آگاه مى كند. با نصب OS جديد، فايروال ويندوز فعال مى شود، بدون هيچگونه استثنايى تا وقتى كه patching كامل شود. اين ويژگى قبلاً در Windows Server 2003 SP1 وجود داشت اين ويژگى نمى گذارد كه قبل از نصب انواع پكيچ، انواع malware سرگردان به ويندوز راه پيدا كنند. براى پيكربندى بهتر و ادغام دقيق تر IPSec و فايروال كنسول كاملاً جديدى به وجود آمده است كه Windows Firewall with Advanced Security ناميده شده است به نظر مى آيد استفاده از اين كنسول آسانتر است و تلاش كمترى جهت پيكربندى را مى طلبد. ويستا بر MD5 و SHA-1hashing اتكا ندارد. از آنجا كه الگوريتم هاى hash به ظاهر از لحاظ رمزگذارر به راحتى از بين مى روند، مايكروسافت از انواع hash قويتر من جمله SHA-۲۵۶ استفاده مى كنند. در زمينه patch، ويستا از ويژگى هاى patch-in-place پشتيبانى مى كند: مى توانيد patch كرده و سپس كامپيوتر را دوباره بوت كنيد، در اين زمينه همه برنامه ها باز هستند و ويستا جلسات (sessions) برنامه فعلى را در reboot حفظ مى كند. البته، بهتر بود اگر انواع patch در وهله اول نياز به يك reboot نداشت.با يك برنامه جديد Network Center امكان ديدن، پيكربندى و مديريت همه چيزهاى شبكه سازى در يك محل مركزى ايجاد مى شود. همچنين يك كلاينت NAP پيشرفته نيز وجود دارد NAP يا Network Access Protection در واقع يك كلاينت كنترل دسترسى شبكه است. زمانى كه سرور در Windows Server ۲۰۰۳ فعال شود، NAP مانع متصل شدن كلاينت هاى بد پيكربندى شده و غيرمجاز به يك شبكه توليد مى شود نصب هاى اخير NAP شركت مايكروسافت چندان دوستدار كاربر نبوده است، و در اغلب در بيشتر محيط ها مفيدتر نبوده اند. ويستا همچنين شامل اينترنت اكسپلورر۷ بسيار پيشرفته نيز است كه شامل بيش از ۱۲ پيشرفت امنيتى جديد است. البته، صدها زمينه GPO جديد يا group policy object وجود دارد كه از لحاظ امنيتى به كار مى آيند.