torstai 4. joulukuuta 2008

Onko siinä Vistassa mitään parempaa kuin XP:ssä?

Usein kuulee väitteen ettei Vistassa ole juurikaan mitään uutta verrattuna XP:hen. Siihen usein vastataan kertomalla, että ainakin tietoturva on parantunut huomattavasti sitten XP:n. Tähän yleensä vastataan, että kyllä Vistakin saastuu haittaohjelmista. Totta. Vista saastuu haittaohjelmista, jopa siinä missä XP:kin, mutta siihen vaaditaan jo käyttäjältä toimenpiteitä. Yleensä saastuneet Vista-koneet ovatkin vähintään käyttäjiensä rampauttamia.

Oletuksena Vista luo edelleen vain järjestelmävalvojan tilin, mikä saattaa äkkiseltään tuntua oudolta, suositteleehan Microsoftinkin käyttämään normaalia käyttäjätiliä. Joka tapauksessa, oletuksen päällä on myös UAC, joka suojaa monenlaiselta harmilta, kunhan ko. ilmoitukset lukee ja toimii sitten sen mukaan. Valitettavasti käyttäjä on yleensä sulkenut UAC:n ja sitä kautta hyvä parannus tietoturvaan on poistettu käytöstä. Ei ihme että saastuneita Vistojakin on.


LUA+UAC, pohja turvallisemmalle Windowsille


Se mikä Vistasta tekee todella paljon turvallisemman kuin XP:n, on ensimmäistä kertaa oikeasti käytettävissä oleva normaali käyttäjätili (LUA, Limited User Account). On pakko myöntää, että edelleen normaalin käyttäjätilin käyttäminen vaatii se hieman viitseliäisyyttä, niistä tuonnempana.

Jo XP:ssä oli mahdollista käyttää normaalia käyttäjätiliä, mutta se oli aika vaikeaa. Esimerkiksi ohjelmia asentaessa piti poistua normaalilta tililtä, antaa normaalille tilille järjestelmävalvojan oikeudet, kirjautua takaisin, asentaa ohjelma ja käynnistää se, poistua tililtä ja muuttaa tili takaisin normaaliksi käyttäjätiliksi ja lopulta kirjautua takaisin. Toki muitakin tapoja on, mutta tässä oli yksi. Vistan kanssa on toisin. Kun jokin ohjelma tarvitsee korkeampia oikeusia, pyytää UAC järjestelmävalvojan salasanaa, ja homma voi jatkua.

Miksi normaali käyttäjätili on sitten turvallisempi kuin järjestelmävalvojan tili? Koska normaalilta tililtä puuttuu oikeuksia tehdä järjestelmätason muutoksia. Esim. monet haittaohjelmat haluavat kirjoittaa Windowsin rekisteriin alueelle, jonne normaalilla käyttäjätilillä ei ole oikeuksia (esim. HKEY_LOCAL_MACHINE) tai levylle kansioihin jonne ei ole oikeuksia (esim. Windows). Toki Vistassa jopa järjestelmävalvojan käynnistämät ohjelmat ajetaan normaalein oikeuksin, mutta kuinka helppoa onkaan vain klikata myöntävästi, kun jokin pyytää korkeampia oikeuksia, kuin että joutuu antamaan järjestelmävalvojan salasanan? Ei ole tiedossa, että mikään haittaohjelma pystyisi ohittamaan UAC:ta, kun käytetään normaalia käyttäjätiliä ja korkeammat oikeudet ovat järjestelmävalvojan salasanan takana. Tämä ei tosin tarkoita missään nimessä sitä, että normaali käyttäjätili olisi immuuni haittaohjelmille, sillä jotkin haittaohjelmat voivat saada itsensä ajetuksi, aina kun saastuneelle tilille kirjaudutaan. Silti normaali käyttäjätili antaa todella hyvän pohjan tehdä koneesta turvallinen.

Normaali käyttäjätili suojaa konetta myös käyttäjältä itseltään. Esimerkiksi lapsille tulisi ilman muuta luoda omat tilit, joilla on vain normaalit oikeudet. Vanhemmilta säästyy paljon aikaa, kun ei tarvitse olla korjaamassa lasten sotkemia koneita.

Normaalin käyttäjätilin hyvä käytettävyys yhdessä UAC:n kanssa nostavat Vistan turvallisuuden selvästi XP:n ohi. XP:ssä ei ohjelmien asennusten tai kriittisiä järjestelmäasetuksia muokatessa, tai haittaohjelman pyrkiessä koneelle, kysellä mitään varmituksia. Ja jälki on sen mukaista. Saahan toki XP:lle tietoturvaohjelmia, mutta niin saa Vistallekin, niitä ei tässä nyt lasketa mukaan.




DEP+ASLR, lisäturvaa



DEP, Tietojen suorittamisen estäminen (Data Execution Prevention) auttaa tietokoneen suojaamisessa valvomalla sitä, että ohjelmat käyttävät järjestelmän muistia turvallisella tavalla. Jos jokin ohjelma yrittää suorittaa ohjelmakoodia muistista väärällä tavalla, tietojen suorittamisen estäminen sulkee ohjelman. Yhdessä DEP:n kanssa toimiva ASLR (Address Space Layout Randomization) antaa lisäsuojaa, sijoittamalla järjestelmätoiminnot sattumanvaraisiin sijanteihin, joten hyökkääjän on vaikeampi yrittää käyttää näitä järjestelmätoimintoja asiattomiin toimintoihinsa.

DEP ja ASLR täydentävät siis toisiaan: ASLR tekee hyökkäyksen vaikeaksi, koska hyökkääjä ei tiedä missä kohde sijaitsee. Ja jos tarttuminen onnistuukin, DEP estää koodin ajon.

Oletuksena Tietojen suorittamisen estäminen valvoo Windowsin tärkeitä ohjelmia ja palveluita. Voit parantaa suojausta asettamalla tietojen suorittamisen estämisen valvomaan kaikkia ohjelmia.


Parannettavaakin on


Kuten jo mainitsin, normaalin käyttäjätilin käyttäminen vaatii edelleen hieman viitseliäisyyttä. Ja onpa joitain suoranaisia ongelmiakin. Esimerkiksi asennettaessa ohjelmaa, asennusohjelma kysyy korkeampia oikeuksia ja saadessaan ne, ohjelma asennetaan sen järjestelmävalvojan tilille kenen salasana on annettu. Pääsääntöisesti tästä ei ole suurempaa haittaa, varsinkaan jos asennettaessa on valittu, että ohjelma asennetaan kaikille käyttäjille. Mutta kannattaa muistaa, että jos asennusohjelma kysyy asennuksen lopussa sitä, että käynnistetäänkö juuri asennettu ohjelma, kannattaa yleensä valita: ei. Tämä syystä, että jos ohjelma vaatii jotain käyttäjäkohtaisia asetuksia, menevät kaikki tekemäsi muutokset sen järjestelmävalvojan tilille jonka alaisuudessa ohjelma asennettiin. Kannattaa siis erikseen käynnistää asennettu ohjelma normaalilta käyttäjätililtä ja tehdä vasta sitten tarvittavia muutoksia.

Monia on myös haitannut se, että UAC kyselee liikaa. Se mikä on liikaa, on tietenkin subjektiivista, sillä esim. itse olen ollut UAC:hen tyytyväinen, enkä tule luultavasti muuttamaan sen toimintaa edes tulevan Windows 7 myötä, jossa tarjoillaan helpotusta UAC:n kyselyihin. Oikeasti UAC kysyy varmistusta yhden ainoan kerran per ohjelman asennus. Jos jonkin ohjelman käynnistäminen saa aikaan sen että UAC kysyy korkeampia oikeuksia, on siihen syynsä tai sitten ohjelma ei täysin ole Vistan kanssa yhteensopiva, eli vaatii korkeampia oikeuksia aivan turhaan. UAC kysyy oikeuksia myös kun järjestelmään tehdään asetuksia, jotka koskevat kaikkia käyttäjiä tai jos ne muuten voivat vaarantaa järjestelmän vakautta. UAC on kuitenkin käyttäjän suojaksi tehty, joten sitä ei ole syytä kytkeä pois. Pienellä vaivalla saadaan suuri hyöty.


Miten siirtyä käyttämään normaalia käyttäjätiliä?


Helpoin tapa siirtyä käyttämään normaalia käyttäjätiliä, on luoda uusi järjestelmävalvojan tili, joka suojataan salasanalla (Tämä on tärkeää!). Sitten nykyinen järjestelmävalvojan tili muutetaan normaaliksi käyttäjätiliksi, ja jatketaan sen käyttöä. Helppoa. Tarkemmat ohjeet löydät tästä.


Lopuksi


LUA+UAC+DEP+ASLR yhdessä terveen järjen kanssa, auttaa todella pitkälle. Pidä Windows ja tietoturvaohjelmistot ajan tasalla. Muista varmuuskopiointi, sillä jos tieto on vain yhdessä paikassa tallessa, se ei ole tallessa ollenkaan. Joten, muista aina varmuuskopiointi.


PS. Aika ajoin näkee myös kysymyksiä/väitteitä ettei Vistalle ole saatavissa ohjelmia samalla tavalla kuin XP:lle. Tämähän on tietenkin täyttä puppua. Vaikkei ohjelmassa välttämättä mainita Vistaa, jos se toimii XP:ssä, se luultavasti toimii Vistassakin. En koskaan ohjelmia kokeillessani katso onko sen erikseen mainittu toimivan Vistassa, pois lukien tietoturvaohjelmistot (joista jo kaikista taitaa Vista-versiot ollakin), vaan yleensä vain otan ne käyttöön Vistassa ilman mitään erikoistoimia. Jopa Windows 98:n aikaiset antiikkiset ohjelmistot ovat toimineet Vistassa, niin miksei sitten XP:lle tehdyt? Pelit tietenkin on oma lukunsa, ja koska en juurikaan pelaa, en voi kuin muutamasta harvasta pelistä sanoa, että nekin ovat Vistassa toimineet.

Ei kommentteja: