Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Windows Vista? Longhorn? Realita: Windows NT 6.0

S tím, jak se s poněkud neurčitým tempem blíží vydání Windows Vista, rozhodl jsem se rozšířit své obzory za pomocí jedné z beta verzí. Co neušlo mé pozornosti najdete v následujících řádcích.

Hardware a výkon

Nezatížen zájmem o vizuální vzhledy, multimédia, DRM, výkonné grafické karty, lentilkami v hrsti ani úpornou snahou přeměnit svůj desktop za pomocí rozličných hejblat v zemi světlých zítřků, přistoupil jsem bez nějakých vnitřních konfliktů na Windows Vista na Windows Virtual Serveru 2005 s virtualizovanou grafickou kartou S3 Trio a bez zvukové karty.

[Vista System]

Na výše uvedené konfiguraci (procesor sdílely další operační systémy) se choval operační systém velmi slušně.

[Vista Domain]

Windows Vista zařazené do domény Windows Server 2003 R2 se hlásí v síti s popiskem Windows Vista (nezapomeňme na trademark) NAZEV_EDICE.

UAC a přihlášení

Jedna z vychvalovaných, ale dle mého soudu nepovedených vlastností. UAC je zkratka pro User Accounts Control a je to pokus Microsoftu, jak vytvořit kompromis mezi tím, co chce typický „power user“ nebo více či méně zkušený „instaluji-a-kliknu-na-co-vidím-a-nic-mne-nezastav í“ a mezi tím, co vyžaduje bezpečnost.

Problém je v tom, že po instalaci je uživatel administrátorem a UAC se dá celkem snadno vypnout. Je nasnadě si představit, co typický „power user“, dle svého soudu zkušený ale o bezpečnosti nemající sebemenší ponětí, udělá jako první věc.

Přitom Vista se dá pod neprivilegovaným účtem provozovat naprosto bez problémů – je opravdu škoda, že to Microsoft vyřešil právě takto. Na druhou stranu je asi jasné, proč se tak stalo – Vista je i systém pro domácí uživatele a jaký efekt by na navyklé „power usery“ toto mělo, se dá očekávat.

[Vista UAC]

UAC dialogů jsem kupodivu při práci nepotkával mnoho a navíc byly jen na logických místech – například nastavení firewallu.

[Vista Logon]

Přihlašovací obrazovka Windows Vista je přinejmenším zvláštní. Nabízí přepínání uživatelů i pokud je počítač přiřazen do domény, takže se již dá uvažovat o jejím použití (na rozdíl od Windows XP).

Při přihlášení lokálního uživatele, nikoliv doménového, je podporována poněkud obskurní syntaxe .\uzivatel a heslo. Pouhým zadáním uživatele se hlásíme do předvolené domény.

Rozhraní – shell Windows Explorer

Po instalaci na systém s grafickou kartou S3 Trio systém nabízí rozhraní Vista Basic. Protože ačkoliv je docela pěkné, je z něho screenshotů habaděj, rozhodl jsem se snímky obrazovky pořizovat s nastaveným rozhraním Windows Classic.

[Vista New Start]

V tomto vzhledu není nový styl nabídky Start příliš použitelný ani vzhledově přitažlivý; nicméně pokud se vám líbí nový koncept interface – všechno vyhledávat – můžete ji zkusit. Na screenshotu je vidět, jak může vyhledávání emulovat nabídku Spustit – po zadání názvu programu je tento dohledán a zobrazen i s ikonou v menu „Programs“.

[Vista Main]

Není však problém přepnout nabídku Start do klasické podoby a zobrazit všechny ikony na ploše.

Bezpečnost: Internet Explorer a Windows Firewall

Komponentami, kde Microsoft vzal bezpečnost tentokrát opravdu vážně, jsou prohlížeč Internet Explorer 7 a integrovaný firewall ve Windows. Obě tyto aplikace mohu označit v současné době za špičku – Protected Mode u Internet Exploreru nahrazuje alespoň to, co ztrácí v efektivitě kombinace UAC a privilegovaný účet a firewall jedoduše válcuje jakýkoliv podobný produkt pro Windows. Uspokojí jak příznivce firewallu jako paketového filtru tak i příznivce dobastlování aplikační bezpečnosti aplikačním firewallem.

[Vista IE7]

Internet Explorer má sice nové rozhraní, ale s množstvím dobře známých prvků, jako například ovládacího panelu Možnosti Internetu. Bezpečnostních nastavení v něm najdeme mnohem více.

[Vista Firewall]

Windows Firewall je možné mimo zjednodušeného ovládacího panelu konfigurovat velmi podrobně skrze snap-in pro Microsoft Management Console.

Longhorn Server: Integrace

Tak jak to bývá u Microsoftu zvykem, koupíte-li si NT Workstation, smysl dostává teprve s koupí serverového operačního systému. Do připravovaného operačního systému Windows Longhorn Server se chystají schopnosti, na které už je Vista připravena.

[Vista Console]

Nová Microsoft Management Console obsahuje nepřeberné množství nových i starých snap-inů.

[Vista Bear Paw]

Nový klient Vzdálené plochy již je připravený na novou generaci Terminal Services. Pod kódovým jménem Bear Paw je vyvíjena i komponenta zvnějšku přístupné brány pro terminálové servery uvnitř firemní sítě.

Závěr

Windows Vista nejsou zcela novým operačním systémem. Jsou to nová a dosud nejdokonalejší „entýčka“, zdaleka však ne nějaká díra do světa. Stejně jako u Windows XP je nejnáročnější dostat je do použitelného stavu vypnutím věcí, které do prostředí kde se pracuje nepatří. Věci, které administrátorům mohou zjednodušit život jsou skryté pod povrchem.

Vyplývá z toho i to, že jsou neopodstatněná tvrzení ohledně přehnaných nároků na přeškolení uživatelů na tento systém. Jak je vidět ze screenshotů, lze se dopracovat do rozhraní, které je k nerozeznání od Windows XP a žádného školení uživatelů netřeba. Srovnávat přeškolení na Vistu s přeškolením na Linux je dle mého holé šílenství a spíše zbožným přáním některých uživatelů Linuxu.

Přechod na Vistu nepřináší žádné výrazné výhody, ale pokud už dostanete do sítě nový počítač s Vistou, nemusíte se jí bát. Bude bez problémů spolupracovat tak, jako všechny verze Windows NT před ní.

Poznámka na závěr: již existují RC verze Visty, které se od Beta 2 liší. Nicméně podstatné věci zůstávají ve stejném stavu, jak jsou popisovány v tomto článku.

Předmět Autor Datum
Já Vistu (Beta 2) po několika dnech laborování smazal a k RC1 jsem se ještě nedostal. Chtěl bych se…
L-Core 20.10.2006 08:32
L-Core
Pokud vím tak ne...nebo je to schované, že to na první pohled Tank neviděl.
MM_tank 20.10.2006 09:46
MM_tank
Ano proč ne: [http://img199.imageshack.us/img199/9686/vistafwrule skd3.png] BTW Vista firewall je…
Vladimir 20.10.2006 17:56
Vladimir
Tomuhle: "vytvořit pravidla pro služby podle procesů služeb nikoliv host procesů" moc nerozumím, ale…
L-Core 21.10.2006 12:25
L-Core
ale to je asi jedno Nene, to není jedno, vysvětlím :-) To je naopak to zásadní co je na aplikačních…
Vladimir 21.10.2006 13:32
Vladimir
Díky za (pro mě částečné) rozsvícení. Tím jedno jsem nemyslel ...podle procesů služeb nikoliv host p…
L-Core 21.10.2006 14:33
L-Core
takže jen krátce (se svým neodbytným požadavkem): Bude moci BFU (bez nastavování portích pravidel) v…
Vladimir 21.10.2006 15:03
Vladimir
Aha, takže já de facto požaduju od fw něco, co vlastně není jeho úkolem a primárně nesouvisí s bezpe…
L-Core 21.10.2006 18:34
L-Core
Ano úkolem firewallu by určitě nemělo být hlídat běžné aplikace. Existují všelijaké free/shareeware… poslední
Vladimir 21.10.2006 22:59
Vladimir
hmm... ohledně TS jde Microsoft zcela jasně ve šlépějích Citrixu :-)
touchwood 20.10.2006 12:19
touchwood
Jde, ale Citrix bude vždy o nějaké ty kroky napřed (i podle domluvy IMHO J.) V rámci Bear Paw se ml…
Vladimir 20.10.2006 17:57
Vladimir

Já Vistu (Beta 2) po několika dnech laborování smazal a k RC1 jsem se ještě nedostal.

Chtěl bych se zeptat na jednu věc, kterou si už nepamatuju (a možná jsem ji ani nevěděl...): vím, že nejsi příznivec aplikačního fw, ale přesto - dovede visťácký firewall blokovat odchozí hovory pro jednotlivé aplikace - tak, jak jim to povolí/zakáže uživatel?

Ano proč ne:

[http://img199.imageshack.us/img199/9686/vistafwrule skd3.png]

BTW Vista firewall je první aplikační firewall který umožňuje vytvořit pravidla pro služby podle procesů služeb nikoliv host procesů, což je to hlavní co mám proti aplikačním firewallům - v současné podobě jsou na pytel. Vista Firewall zvládá i toto, myslím to opravdu vážně že je daleko za jinými firewally pro Windows.

Tomuhle: "vytvořit pravidla pro služby podle procesů služeb nikoliv host procesů" moc nerozumím, ale to je asi jedno :-|

Myslel jsem asi tohle: Z nějakého důvodu se běžný uživatel rozhodne, že chce aby aplikace xyz neměla nikdy přístup na internet (aby nic neodesílala, aby se neptala po updatech,...), kupříkladu onen WMP. Zda mu postačí při prvním takovém připojovacím pokusu to jednoduše zakázat (jak je tomu v aplikačních fw). Honit takového uživatele po konzolách mi nepřipadá jednoduché (a pro BFU je to skoro nepoužitelné).

ale to je asi jedno

Nene, to není jedno, vysvětlím :-) To je naopak to zásadní co je na aplikačních FW špatně.

Některé služby (např. Automatické aktualizace, ale třeba taky Síťová připojení a Vzdálený přístup) se spouštějí registrací v host procesu. Vlastně, jde o většinu služeb.

Ty host procesy jsou:

svchost.exe
dllhost.exe (pouze služby COM+)

Spustí se např. příkazem svchost.exe -abcdefgh. Co udělá klasický aplikační firewall, když se pokouší služby síťpvě komunikovat? Vyhodí hlášku : XYZ wants to connect to the process SYSTEM. Nebo: SVCHOST.EXE wants to connect to XYZ. Co z toho pozná BFU? Nic. Proč? Protože já sám z toho poznám s odpuštěním prd :-D Tak jak toho má něco poznat BFU? Vždyť z toho nelze poznat, jestli jde o automatické aktualizace nebo síťová připojení, a to je sakra rozdíl :-) Proto tvrdím že tyto "firewally" jsou jednoduše ZLO, protože navozují v BFU falešný pocit bezpečí a ještě falešnější dojem že ovládat firewall je snadné. Want to connect? YES. Want to allow process? YES. Want to see Anna Kurnikova naked? YES.

Firewall ve Vistě má seznam služeb, které povoluje. Tj. BUĎ obyčejný proces NEBO službu. / a nebo rozsah portů pro všechny procesy - toto běžným aplikačním FW chybí jako sůl

A teď ta horší část. Konzole je úplně skrytá a pro BFU stejně nesrozumitelná. Zjednodušené rozhraní v ovládacích panelech má možnost procesy povolovat a zakázat, ale pro mě to je zjednodušené až moc - je těžké se v tom potom vyznat.

Díky za (pro mě částečné) rozsvícení. Tím jedno jsem nemyslel ...podle procesů služeb nikoliv host procesů, ale to že je asi jedno, že tomu nerozumím ]:)

Začínám cítit ten rozdíl oproti aplikačnímu fw, ale potřebuju ještě něco o tom naštudovat - takže jen krátce (se svým neodbytným požadavkem): Bude moci BFU (bez nastavování portích pravidel) ve visťáckém fw jednoduše zakázat WMP (nebo čemukoliv) jakýkoliv přístup na internet? Nějak ztrácím půdu pod nohama; zda toto jde vůbec zabezpečit i v těch aplikačních fw :-? >>> svchost.exe má povolení, aplikace xyz.exe ne... ale copak já vím, zda xyz nevyužije pro připojení na internet právě toho svchostu?

takže jen krátce (se svým neodbytným požadavkem): Bude moci BFU (bez nastavování portích pravidel) ve visťáckém fw jednoduše zakázat WMP (nebo čemukoliv) jakýkoliv přístup na internet?

No, já myslím že ano. Ale moc si tím jistý nejsem, protože jsem na první pohled snadněji pochopil rozšířenou konfiguraci než tu zjednodušenou (trochu se obávám zda to nebude podobné jako se "zjednodušeným" sdílením z Windows XP). Ještě se na to možná podívám.

Nějak ztrácím půdu pod nohama; zda toto jde vůbec zabezpečit i v těch aplikačních fw >>> svchost.exe má povolení, aplikace xyz.exe ne... ale copak já vím, zda xyz nevyužije pro připojení na internet právě toho svchostu?

Platí že:

a) Pouze příchozí komunikace může být nebezpečná, takže na správně nastavených pravidlech závisí jen směrem dovnitř. Blokování odchozí komunikace má snad smysl jen u programů s automatickou aktualizací kde ta aktualizace nejde vypnout (např. Real Player), a u takových bych zvážil zda takové šmejdy používat. S bezpečností nemá odchozí komunikace co dočinění (červi a spyware ten firewall v první řadě vypnou nebo přenastaví).

b) tyhle host procesy používají jen registrované služby. Např. malware který pro aplikační firewall komunikuje přes dllhost.exe není těžké napsat, ale to jsou zbytečné úvahy protože ten vir ten firewall může vypnout což naprogramuje i cvičený hroch, narozdíl od COM+ služby)

Aha, takže já de facto požaduju od fw něco, co vlastně není jeho úkolem a primárně nesouvisí s bezpečností.

Existují všelijaké free/shareeware aplikace, které se snaži připojovat k "mateřské organizaci" a řada uživatelů to nechce z všelijakých důvodů povolit. Když se např. vrátím k obligátnímu WMP; nemám zájem načítat informace o vloženém CD (= nikomu není nic po tom, co poslouchám). Vím, že např. v onom WMP jde v menu nepřipojování nastavit - ale existují všelijaké aplikace, které toto nemají a připojují se někam automaticky. Důvody, proč tomu bránit, mohou být opravdu různé.

Nějak mě pak ale nenapadá, co by v tomto případě mohlo přísně aplikační fw nahradit. Připouštím, že se notně odkláním od záběru původního článku... možná s něčím takovým vlezu na poradnu.

PS: osobně na muziku používám Foobar2000, WMP byl jen (nepodařený) příklad ;-)

Ano úkolem firewallu by určitě nemělo být hlídat běžné aplikace.

Existují všelijaké free/shareeware aplikace, které se snaži připojovat k "mateřské organizaci"

To je docela možné, ale jednoduché řešení je tyhle věci z počítače pro každého prostě nepoužívat - já to nedělám a taky žiju. Popravdě, setkal jsem se jenom s Real Playerem, který byl tak neodbytný, ve všech normálních aplikacích se takové věci dají vypnout - např. v Media Playeru.

Když je aplikace de facto chová jako spyware /adware, proč si ji vydržovat, pochybuju že existuje nějaká která je nenahraditelná.

Nějak mě pak ale nenapadá, co by v tomto případě mohlo přísně aplikační fw nahradit.

Nepoužívat spyware... 8-)

WMP byl jen (nepodařený) příklad

ne, naopak byl to dobrý příklad protože řada lidí má k MS firewallu nedůvěru a MS sám dal do něj pravidla na blokování odchozí komunikace (viz screenshot, to je pravidlo MS ne moje), pouze není ve výchozím stavu zapnuto.

Zpět na články Přidat komentář k článku Nahoru