Шрифт:
Однако довольно скоро система снова начала выдавать предупреждения. Открыв «Центр решений» я увидел сообщение «AVG Anti-Virus Free отключен». Странно! Хорошо, щелкнем на «Включить сейчас». И что же вы думаете?! UAC спрашивает, доверяю ли я программе. Выругавшись про себя, щелкаю на Yes и получаю... вопрос, хочу ли я позволить программе сделать изменения. Вне себя, опять щелкаю на Yes, и снова безрезультатно, антивирус не включается. В итоге снова приходится делать все вручную.
При открытии окна AVG Anti-Virus я столкнулся с парадоксом. В разделе настройки конфигурации Resident Shield показывается, что антивирусные средства активны, а окно состояния программы сообщает об обратном. Я решил, что если принудительно выключить программу, а потом снова включить, то все встанет на свои места. Проделав это, я естественно, получил два новых сообщения от UAC. Но вроде бы помогло, Resident Shield заработал, а «Центр решений» остался доволен.
Увы, спустя некоторое время история повторилась. Я отправил исполнительному директору AVG Карелу Облаку вопрос о странностях в поведении программы, и тот ответил, что «поскольку у нас с Microsoft заключено соглашение о неразглашении (Non-Disclosure Agreement, NDA), я не могу дать какую-либо информацию, полученную в результате проведенного нами тестирования AVG Anti-Virus в среде Windows 7. Однако хочу заверить вас, что мы работаем с Microsoft и прилагаем все усилия, чтобы программа AVG Anti-Virus была совместима с Windows 7 уже с самых первых версий». В общем, справедливо – ведь речь идет о предварительной бета-версии.
Главное впечатление от первого дня работы с Windows 7 – огромное число запросов UAC. На фоне громких заявлений, что Windows 7 обуздает назойливый «Контроль учетных записей», это удивляет. Что ж, по крайней мере, я убедился, что UAC жив и так же активен. Давайте, посмотрим, можно ли каким-нибудь образом сократить этот бесконечный поток всплывающих сообщений?
UAC и пользователь
Кто-то любит Vista, а кто-то ее страстно ненавидит. Большинство последних делятся на две основные группы. К первой принадлежат те, кто перешел на Vista с XP и скорее всего не воспользовался Windows Vista Upgrade Advisor, чтобы проверить совместимость аппаратного и программного обеспечения. Они потратили массу времени, пытаясь заставить свои принтеры печатать, программы учета ресурсов – учитывать, факс-модемы – отправлять факсы и т.?д. В своих бедах они обвинили Vista. Большая часть другой группы считали бы Vista замечательной ОС, если бы не эти доводящие до умоисступления всплывающие окна User Account Control.
Windows Vista должна была стать значительно безопасней, чем Windows XP, и UAC – краеугольный камень системы безопасности. Задача UAC – гарантировать, что ни одно изменение на системном уровне не произойдет без ведома пользователя и без разрешения администратора. Даже если пользователь сам наделен полномочиями администратора, то все его повседневные действия выполняются с правами стандартного уровня, с более низкими привилегиями, чем у администратора. Прежде чем опасный вирус (или полезное приложение) сможет сделать нечто ужасное, например записать себя в папку Windows, необходимо получить разрешение.
Самое кошмарное, что связано с всплывающими окнами UAC в Vista, – так называемый режим безопасного «Рабочего стола». При появлении предупреждения вся информация на экране, кроме сообщения UAC, гаснет. В Vista модуль UAC блокирует все действия, пока пользователь не отреагирует на сообщение. Цель этой меры – предотвратить попытки обмана и манипуляций со стороны вредоносных программ, но это очень действует на нервы.
Не столь страшен, но не менее неприятен другой сценарий. При запуске программы UAC сразу же спросит, действительно ли пользователь хочет запустить ее. Конечно же, если он это делает! Для рядовых пользователей и даже для администраторов, которым достаточно щелкнуть на Yes, это испытание терпения. Представьте себе состояние пользователя с привилегиями стандартного уровня, который должен ввести пароль администратора или (что бывает чаще) отправиться на поиски руководителя, который знает этот пароль. В одном случае из тысячи такая предосторожность, возможно, предотвратит запуск вредоносной программы, если, конечно, при этом пользователь проявит бдительность и нажмет кнопку No. В остальных же 999 случаях она принесет одни лишь муки.
В Windows 7 можно «укротить» подсистему User Account Control, ограничив ее поползновения на свободу пользователя.
В блоге Engineering Windows 7 (русскую версию блога см. на разработчики из Microsoft дали замечательную формулировку, что требование подтверждения каждого действия «помогает выявить вредоносные или плохо написанные программы и получить санкцию пользователя, прежде чем системе будет причинен вред». Такая же логика лежала в основе персональных брандмауэров старого типа (сейчас уже вышедших из употребления), которые обрушивали на нас поток непонятных всплывающих запросов. Более того, разработчики из Microsoft признают, что UAC, на самом деле, не может защитить от вредоносного ПО, поскольку у пользователей нет достаточных знаний, чтобы правильно отреагировать на предложение системы безопасности. Рядовой пользователь не может отличить сообщение UAC о совершенно безопасной программе от сообщения об атаке. Большинство пользователей просто нажимают на Yes и разрешают программе работать дальше. Как показывают данные, полученные Microsoft, пользователи нажимают на Yes в 90 % случаев.
Безопасность в IE8
Естественно, что в предварительной бета-версии Windows 7 в качестве встроенного браузера используется предварительная же бета-версия Internet Explorer. Я вкратце рассмотрю несколько вопросов, связанных с безопасностью.
• InPrivate Browsing (злые зыки именуют его «порнорежимом») позволяет посещать Web, не оставляя следов. Браузер не кэширует временные файлы, не принимает куки-файлы, не записывает историю посещений. Серфинг без следов сейчас моден: в Google Chrome есть «Режим инкогнито», в Safari – «Частный просмотр», нечто в таком роде скоро будет и в Firefox.
• InPrivate Blocking. Этот режим позволяет даже больше, чем просто анонимный просмотр: блокируются сайты, которые посягают на частную жизнь, отслеживая ваши типичные маршруты по сайтам и переходы между ними. Каждый раз, когда сторонний сайт принимает данные от сайта, на который зашел пользователь, он получает от IE8 пометку о неблагонадёжности. Десять таких меток, и сайт попадает в список жульнических. Когда функция InPrivate Blocking включена, запрещается доступ к подозрительным ресурсам. Конечно, рекламные компании, публикующие контекстные объявления на множестве сайтов, часто собирают информацию, чтобы удостовериться в том, что их реклама не транслируется одному и тому же пользователю. Некоторые из таких Интернет-рекламодателей волнуются, что из-за этой новой функции снизятся их доходы, но Microsoft уверяет, что блокировка такой рекламы не предполагается.
• Интеллектуальное удаление истории. Благодаря этим средствам упрощается удаление куки-файлов (и других следов в браузере), но при этом не теряются данные, автоматически заносимые в папку «Избранное». Это так просто, что удивляет, почему Microsoft не сделала этого раньше. Через диалоговое окно удаления истории просмотра можно убрать куки– и временные файлы и историю, но теперь там есть кнопка-флажок «Не удалять куки– и кэш-файлы с сайтов, которые сохранены в папке „Избранное“». Отлично!
• SmartScreen. Средства защиты от фишинг-атак теперь называют SmartScreen – экран IE8 приобретает страшный кроваво-красный цвет, предупреждая о потенциальной опасности. Это воздействует на пользователя гораздо сильнее, чем бледный, тусклый экран предупреждения IE7. Быстрый тест позволяет убедиться в том, что IE8 не менее успешно противостоит фишинговым атакам, чем IE7. Однако SmartScreen также способен блокировать сайты, известные как рассадники вредоносного ПО. Я попробовал повторно загрузить всю имеющуюся у меня коллекцию образцов «вредителей», чтобы проверить эту функцию. Не был заблокирован ни один из них! Единственный сайт, на который отреагировал SmartScreen, – это тот, который Microsoft построила специально для тестирования этой функции. Очевидно, SmartScreen тоже не вполне готов к работе.
В блоге Engineering Windows 7 раздел User Account Control занимает большое место. Авторы не пожалели времени на то, чтобы поздравить самих себя с разработкой такого хитрого механизм, который обеспечивает защиту и не требует необоснованного увеличения прав. (Спасибо, ребята, но не могли бы вы сделать так, чтобы при этом не издеваться над пользователем?) Правда, в конце концов они признали, что проблемы есть. Например, их исследования показывают, что 40 % всех предупреждений UAC сообщают о действиях самой Windows. Например, компонент Windows пытается сделать что-то важное, а UAC блокирует его, до тех пор пока пользователь не даст согласия. По словам авторов блога, «в Windows 7 будет меньше сообщений о действиях компонентов Windows». Это внушает оптимизм, и, надеюсь, обещание будет выполнено. В этом же блоге целый список других достойных восхищения задач, которые ставят разработчики новой версии UAC в Windows 7. Они, в частности, планируют: