امنيت پاشنه آشيل سيستمعاملهاي مايكروسافت است و هميشه بزرگترين ضعف نسخههاي مختلف ويندوز محسوب شده است. مايكروسافت تلاش زيادي كرد كه وضعيت امنيتي در ويندوز7 را سر و سامان بدهد و حركتهايي مانند افزوده شدن Windows Defender، بهروزرساني Windows Firewall و قابليتهاي جديدي مانند BitLocker، AppLocker، Parental Control و UAC نیز تاحدودي توانستند امنيت نسخه هفتم ویندوز را تأمين كنند و از فشارها و اعتراضات مخالفان آن کم کنند. همچنين كاربران و طرفداران ويندوز توانستند بيشتر از گذشته، به اين شركت و سيستمعامل محبوبش اعتماد كنند. مايكروسافت در ويندوز8 اين رويه را ادامه داد و ويژگيهاي امنيتي اساسي و عمدهاي را پیادهسازی و به ويندوز اضافه كرد كه مهمترين آنها تبدیل Windows Defender به یک ضد ویروس است. بهطوري كه برخي از كارشناسان، امنيت را بعد از مترو مهمترين قابليت تازه ويندوز8 میدانند و مقالههاي زيادي درباره قابليتهاي امنيتي ويندوز8 نوشتهاند. دو دليل عمده باعث شد مايكروسافت در نسخه هشتم ويندوز نيز نگاه ويژهاي به مقوله امنيت داشته باشد و سطح تغييرات فقط به چند بهروزرساني محدود نشود. نخستین دليل به وضعيت نگرانكننده امنيت اينترنت و شبكهها در چند سال اخير برميگردد. دليل دوم هم اين است كه ويندوز8 براي دستگاههاي همراه سفارشيسازي شده است و اين دستگاهها به شدت آسيبپذير و به طور بالقوه ناامن هستند. اگر قرار است ويندوز8 روي تبلتها و اسمارتفونها نصب شود، بايد بتواند امنيت اين دستگاهها را نیز تامين كند. به خصوص اينكه گزارشها و پيشبينيها همگي حكايت از كوچ هكرها و خرابكاران از كامپيوترهاي دسكتاپ به دستگاههاي همراه و موبايل دارند و برآورد ميكنند که در چند سال آينده، درصد انتشار ويروسها و بدافزارها روي تبلتها و اسمارتفونها بسيار بيشتر از كامپيوترهاي دسكتاپ باشد. بنابراين مايكروسافت ناگزير بوده است براي كامل كردن اكوسيستم خود و تضمين موفقيت ويندوز8 بهعنوان يك سيستمعامل موبايل، روي امنيت حساب ويژهاي باز كند و رويكردي اساسي و عمقي داشته باشد. نوشتار زير درصدد است مهمترين تغييرات و ويژگيهاي امنيتي ويندوز8 را مورد بررسي و ارزيابي قرار داده ونشان دهد كه مايكروسافت چه تلاشهایی براي امن كردن پنجرههايش كرده و چه ابزارها و قابليتهايي براي امنسازي فراهم كرده است. اگرچه برای این کار بايد كمي صبر كرد و بعد از گذشت چندين ماه از انتشار ويندوز8، به ارزيابي و نتيجهگيري واقعی درباره امنيت اين سيستمعامل نشست! Windows Defender؛ ضدويروس همراه ويندوز
بالاخره مايكروسافت رضايت داد و همراه با ويندوز يك نسخه ضدویروس رايگان نيز ارائه کرد. در نسخههاي قبلي ويندوز، كاربران بعد از نصب سيستمعامل باید بلافاصله به فكر يك نرمافزار ضدویروس ميبودند اما در ويندوز8 همراه با نصب ويندوز، ضدویروس Windows Defender نيز نصب ميشود. مايكروسافت اين ابزار رايگان را كه نخستینبار براي ويندوز ويستا ارائه داد، بهبود داده و بهروز رسانی کرده است و قابليتهاي جديدي مانند ضدجاسوسافزار، ضدبدافزار و بوت امن (Secure Boot) را به آن افزوده است. Windows Defender در نسخه جديد شباهتهاي زيادي به ضدویروس ديگر اين شركت یعنی Microsoft Security Essentials دارد و روي مصرف منابع پردازنده و حافظه آن كارهاي زيادي صورت گرفته است، چراکه قرار است اين ضدویروس روي دستگاههاي همراه نيز اجرا شود. تجربه شخصي ما در استفاده از اين ضدویروس مثبت بود و به نظر میرسد براي افرادي كه فقط به دنبال پايينترين سطح از امنيت و محافظت سيستم هستند، كافي و جوابگو است.البته بدیهی است اين ضدویروس نميتواند با ضدویروسهاي معروفي مانند بيتدیفندر، كسپرسكي، نورتون و ناد32 رقابت كند. اما همين كه وقتي شما ويندوز8 را نصب ميكنيد و براي نخستینبار با آن وارد اينترنت ميشويد، اطمينان داريد نرمافزاري هست كه محافظت از سيستم را حتي بهطور ضعيف برعهده داشته باشد، يك مزيت ويژه براي اين سيستمعامل است.
SmartScreen Filter؛ دانلودها زير ذرهبين
براي نخستینبار ابزار SmartScreen همراه با اينترنت اكسپلورر9 عرضه شد و خلاء يك ابزار محافظتي در برابر فايلها و برنامههايي كه در اين مرورگر دانلود ميشدند را پر كرد. همچنين اين ابزار ميتوانست سايتهاي جعلي و مشكوك را تشخيص داده و اجازه گشودن و بازديد آنها را به كاربران ندهد و آنها را بلوک کند. اكنون خبر خوش اين است كه اين ابزار كه فقط مختص IE 9.0 بود و همراه با آن نصب ميشد، در ويندوز8 گنجانده شده است و همراه آن نصب ميشود و براي مرورگرهاي اينترنت اكسپلورر، فايرفاكس، كروم و... قابل استفاده است. هنگامي كه شما ميخواهيد نرمافزار دانلود شده از روي اينترنت را باز كرده و اجرا كنيد، ابزار SmartScreen Filter آن را با فهرست نرمافزارهاي امن خود مقايسه ميكند و به شما پيغام ميدهد كه مراقب باشيد يك بدافزار يا نرمافزار آلوده را نصب نكنيد. اين ابزار سعي ميكند علاوهبر سورس نرمافزار، رفتار آن را در هنگام نصب نيز ردگيري كند و اگر دوباره به نرمافزار مشكوك شود، به شما پيغام ميدهد. مايكروسافت با افزودن SmartScreen Filter، پيغام Security Warning قبلي را كه روي ويندوز7 و ويستا بود، از ويندوز8 حذف کرده است. اين پيغام در هنگام نصب يك برنامه دانلود شده ظاهر ميشد و به كاربر هشدار ميداد كه پيش از نصب، از سالم بودن نرمافزار اطمينان حاصل كند.
UEFI؛ استارت سريعتر و امنتر!
يک اتفاق خوشايند امنيتي ديگر در ويندوز8، بهبود یافتن برنامه بوت ويندوز و جايگزيني فرموير UEFI (Unified Extensible Firmware Interface) بهجاي فرموير بوت قديمي(BIOS (Basic Input Output System است. برنامه بوت جديد علاوهبر اينکه زمان بوت ويندوز را کاهش ميدهد و به هشت ثانيه از لحظه فشار دادن کليد پاور تا ظاهر شدن دسکتاپ ميرساند، قابليتهاي محافظتي و امنيتي بوت ويندوز را نيز بهبود ميدهد بهطوري که بدافزارها يا روتکيتها نميتوانند به برنامه بوت نفوذ و رسوخ کنند و تنظيمات آن را تغيير دهند يا مديريت و کنترل برنامه بوتلودر را به دست بگيرند. وقتي قابليت بوت امن روي اين برنامه فعال باشد، براي بوت ويندوز نياز به امضاي ديجيتالي و مشخصات سختافزار و اطلاعات ديگري است که در اختيار برنامههاي روتکيت نيست و به آنها اجازه نميدهد که بتوانند ويندوز را بهصورت پيشفرض بوت کنند. البته مایکروسافت برای ارائه برنامه بوتلودر جديد يک شيطنت نيز کرده است و گفته کامپيوترهايي ميتوانند از برنامه بوت لودر جديد UEFI استفاده کنند که بايوس (BIOS) سيستم آنها جديد باشد و داراي گواهينامه تأييديه مايکروسافت نيز باشد. اين حرف به اين معني است که کامپيوترهاي قديمي يا کامپيوترهايي که اين گواهينامه را ندارند، نميتوانند از اين بوتلودر استفاده کنند. همچنين نگرانيهاي ديگري در اين زمينه در ميان کاربران سيستمعاملهاي ديگر از جمله لينوکس نيز ايجاد شده است که آيا UEFI با لينوکس بهصورت بوت چندگانه سيستمعامل کنار ميآيد يا خير! بهطور کلي اينکه مايکروسافت روي برنامه بوتلودر کاربران سلطه داشته باشد، چندان به مذاق کاربران خوش نيامده است و اين شرکت بعدها اعلام کرد که راهکارهايي را ارائه ميدهد که اين نگراني کاربران نیز برطرف شده و بتوانند از قابليتهاي امنيتي UEFI روي کامپيوترهاي با بايوس قديمي يا کامپيوترهايي با سيستمعاملهاي ديگر نيز استفاده کنند.
رمزهاي عبور تصويري و چهار رقمي
در نسخههاي قبلي ويندوز، تنها از رمزهاي عبور ساده پشتيباني ميشد و کاربران با تعريف يک رمز متشکل از اعداد، حروف و علائم ويژه روي صفحهکليد ميتوانستند به طور امن به ويندوز لاگين کنند. شرکتهاي سختافزاري به جبران اين کمبود ويندوز، خودشان فرآیندهاي تشخيص چهره (Face Detector) و اثر انگشت (Finger Print) را به محصولاتشان اضافه کردند. در ويندوز8 دو روش جديد لاگين امن به ويندوز نيز اضافه شده است. نخستین روش، استفاده از يک تصوير و وارد کردن رمزعبور حرکتي روي آن است. اين قابليت در سيستمعامل آندروئيد قبلاً تجربه شده و بهشدت مورد استقبال کاربران قرار گرفته بود؛ اينکه شما سه حرکت با حالتهاي مختلف مخصوص خودتان را تعريف کنيد و براي ورود به سيستم از اين حرکتها استفاده کنيد. ناگفته مشخص است که اين روش لاگين براي نسخههاي تبلتي ويندوز8 و دستگاههاي لمسي کارايي دارد. روش دوم لاگين، استفاده از يک پينکد چهار رقمي است که کاربر تعريف ميکند. روش دوم باز هم براي تبلتها و دستگاههای همراهي است که کاربر ميخواهد رمزعبور را سريع وارد کرده و به سيستم لاگين کند.
ASLR؛ بافرهاي غيرمحترک
آسيبپذيريهايی را که براساس جابهجايي يا حرکت کد اطلاعات در حافظه ايجاد شده و باعث به هم ريختن بافر ويندوز و نرمافزارها ميشود، به اصطلاح Buffer Overrun مينامند. مايکروسافت در ويندوز ويستا، ASLR يا Address Space Layout Randomization را مورد استفاده قرار داد و اکنون در ويندوز8 اين قابليت را بهبود داده و مکانيزمهاي پيشگيرانه سختتري را روي آن تعريف کرده است. ASLR با مستقرکردن تصادفي اطلاعات در حافظه آسيبپذيريهاي Buffer Overrun را کاهش ميدهد و با کنترلي که روي اطلاعات و کدها و همچنين محل ذخيرهسازي آنها در حافظه دارد، ميتواند حرکتهاي مشکوک را شناسايي کرده و جلوي اکسپلويتهاي نرمافزارهاي مخرب را بگيرد. مايکروسافت با ارتقای هسته ويندوز، گام ديگري براي مقابله با اين نوع آسيبپذيريها برداشته است. همچنین، مرورگر اينترنت اکسپلورر 10 نيز از اين بهبودها بينصیب نمانده است و گزينه ForceASLR در بخش Enhanced Protected Mode کمک ميکند تا اطلاعات بهصورت تصادفي در حافظه مستقر شوند و امکان هرگونه اکسپلويت يا سرريزبافر با استفاده از مرورگر ازمیان برود.
DAC؛ کنترل دسترسي پويا
يکي ديگر از ضعفهاي سيستمعامل ويندوز و در مقابل آن نقطه قوت سيستمعاملي مانند لينوکس، مجوزها و دسترسيهايي بود که براي فايلها و پوشهها وجود داشت. کاربران ويندوز فقط ميتوانستند دسترسي به فايلها و پوشهها را براي کاربران يک گروه محدود کنند. همچنين کنترل زيادي روي اجراي فايلهاي مختلف نداشتند. در ويندوز8 قابليت Dynamic Access Control مورد استفاده قرار گرفته است که تا حدود زيادي به مجوزها و دسترسيهاي فايلها و پوشهها سروسامان ميدهد. اين قابليت که در ويندوز سرور 2012 نيز گنجانده شده، به ادعاي مايکروسافت امکانات زيادي براي مديران سيستم ايجاد ميکند از جمله این که آنها میتوانند به اطلاعات ذخيره شده روي Active Directory مجوزهاي مختلفي بدهند، براي هر فايل و پوشه يک ID خاص تعريف کنند، براي مجموعهاي از کاربران دسترسي يکسان تعريف کنند، روشهای دسترسی به اطلاعات را تغيير دهند و مواردي ديگر. کارشناسان امنيتي اذعان کردهاند که قابليتهاي جديد DAC از دسترسيهاي غيرمجاز يا اجراي فايلها توسط بدافزارها يا تروجانها روي ويندوز جلوگيري ميکند و هکرها براي نفوذ به ويندوز از طريق تغيير مجوزهاي فايلها و پوشهها دردسرهاي بيشتري دارند.
Reset & Refresh؛ خط رهايي
در ميان کاربران ويندوز مشهور است که هميشه بايد يک ديسک نصب ويندوز و يک ديسک بازيابي (Recovery) همراه داشته باشيد. اگر ويندوز آلوده به ويروس يا بدافزاري ميشد كه کنترل سيستم را بهدست ميگرفت، خود ويندوز ابزاري براي رهايي از اين وضعيت نداشت و کاربران بهسراغ نرمافزارهاي قابل بوت برای بازيابي ويندوز يا بازيابي اطلاعات ميرفتند و با بوت سيستم ميتوانستند به اطلاعات و فايلهاي خود دسترسي پيدا کنند. اما در محيط Windows RE ويندوز8 يا Windows Recovery Environment (بعد از بوت سيستم از برنامه بوتلودر گزينه Repair را انتخاب کنيد تا وارد اين محيط از ويندوز شويد) دو قابليت به نام Reset و Refresh اضافه شده است که کارهاي جالبي ميکنند. Reset بهطور کلي پارتيشن داراي ويندوز روي هاردديسک را فرمت كرده و تمامي اطلاعات و فايل/پوشهها را به همراه ويندوز پاک ميکند و دوباره شروع به نصب ويندوز ميکند. اين ابزار براي مواقعي خوب است که سيستم شما آلوده به ويروس شده است و نميخواهيد هيچ دسترسي يا سرقتي براي اطلاعات شما اتفاق بيفتد و از طرف ديگر، يک نسخه پشتيبان براي اطلاعات خود داريد يا اطلاعات درون پارتيشن نصب ويندوز کماهميت و بياهميت هستند. Refresh برعکس ابزار قبلي شروع به نصب ويندوز کرده اما اطلاعات و برنامههاي مهم ويندوز را نگه ميدارد. برنامکها و رابط گرافيکي مترو، تنظيمات شخصي و نرمافزارهايي که نصب شدهاند، در اين وضعيت باقي ميمانند. اين دو ابزار به کاربران کمک ميکند تا يک سيستم آلوده را تعمير و بازيابي کنند و نيازي به ديسکهاي بوت جانبي نداشته باشند.
تغيير در فرآیند اجراي برنامهها
يکي از کارهاي خندهدار مايکروسافت در سيستمعامل MS-DOS که بعداً در نسخههاي ويندوز هم ادامه يافت، طرز اجراي فايلهاي COM و EXE بود. مايکروسافت براي اجراي برنامههاي داراي اين پسوندها، تمام برنامه را از روي هاردديسک روي حافظه رم منتقل ميکرد و بعد از روي حافظه رم برنامه اجرا ميشد. اين موضوع باعث ميشد هيچ تفاوتي ميان کدهاي يک برنامه با اطلاعاتي که اين برنامه روي آنها کار ميکرد، وجود نداشته باشد. در اين شرايط کافي بود يک هکر به اطلاعات حافظه رم دسترسي پيدا کند تا هم اطلاعات و هم کد برنامه را کپي کرده و با تغيير کدهاي برنامه بتواند به سيستم نفوذ کند. سالهاي سال اين ضعف در سيستمعاملهاي ويندوز وجود داشت و کارشناسان و شرکتهاي امنيتي سرکوفت آن را به مايکروسافت ميزدند. بالاخره اين شرکت در ويندوز8 اين رويه را تغيير داد و با محدود کردن برخي از ويژگيها و قابليتها که در جدول شماره 1 و 2 مشاهده ميشود و استفاده از قابليت ASLR که در بخشهاي قبلي توضيح داديم، مشکل را برطرف کرده است و از حملاتي مانند Overrun يا تغيير برنامه در حافظه رم جلوگيري کرده است.
امنيت مترو
رابط گرافيکي مترو يا همان Modern UI شايد در کامپيوترهاي دسکتاپ استفاده زيادي نداشته باشد و کاربران اين دستگاهها کمتر به سراغ آن بروند اما در دستگاههاي تبلت و اسمارتفون يا دستگاههاي لمسي مانند کامپيوترهاي All-in-One کاربردهاي زيادي دارد و کاربران بيشتر کارهاي خود را با اين محيط انجام ميدهند. بنابراين امنيت محيط مترو اهميت زيادي خواهد داشت. مايکروسافت با دانستن اين موضوع تا حد امکان سعي کرده است مجوزها و دسترسيهاي برنامکهاي (App) اين محيط را محدود کند و براي استفاده از آنها حتماً کاربر به لاگين شدن و وارد کردن رمز عبور يا مجوز دسترسي به يك فايل نياز داشته باشد. اگر تجربه کار با اين محيط را داشته باشيد، بيشتر برنامکها نياز به حساب کاربري هاتميل يا ويندوز لايو دارند و برخي ديگر از برنامهها نيز بهطور مستقيم فايلها و پوشههاي روي هاردديسک يا دسکتاپ را باز نميکنند.مايکروسافت سعي کرده است طراحي مترو به گونهاي باشد که براي نفوذگران و هکرها هيچ راهي از محيط مترو به محيط دسکتاپ و کرنل ويندوز وجود نداشته باشد. تستهايي که کارشناسان امنيتي و چندين آزمايشگاه معروف نرمافزارهاي امنيتي روي اين محيط انجام دادهاند، اين موضوع را تاييد ميکند که محيط مترو امنيت نسبتاً بالاتري نسبت به محيط دسکتاپ دارد و بسياري از حفرهها و آسيبپذيريهاي محيطهاي قبلي ويندوز را ندارد. تنها راه نفوذ به محيط مترو استفاده از بدافزارهايي است که بايد ابتدا روي محيط دسکتاپ ويندوز نصب و اجرا شوند. مايکروسافت براي اطمينان دادن بيشتر به کاربران دستگاههاي همراه گفته است که روي ويندوز8 نسخه RT از پروسههاي رمزنگاري اطلاعات استفاده خواهد کرد تا اطلاعات کاملاً امن باقي بمانند.
جمعبندی
مايکروسافت در ويندوز8 روند بهبود امنيت در سيستمعاملهايش را ادامه داده است و با افزودن يک ضدویروس و چندين قابليت در هسته ويندوز، سعي کرده تا سطح امنيتي مطمئنتري را براي کاربرانش فراهم کند. اين شرکت نگاه ويژهاي به ويندوز8 روي دستگاههاي همراه نيز داشته و ابزارها و امکاناتي براي اين گروه از کاربران فراهمکرده است. چون ميداند در آينده استقبال از تبلتها، اسمارتفونها و دستگاههاي لمسي بيشتر خواهد شد و اگر سيستمعامل روي اين دستگاهها از امنيت لازم برخوردار نباشد، بهانه بزرگي را بهدست سيستمعاملهاي موبايل ديگر بازار مانند آندروئيد و iOS خواهد داد و دوباره مانند ويندوزفون سهم کمتري از بازار سيستمعاملهاي موبايل تصاحب خواهد کرد. البته، با تمام ويژگيهاي مثبتي که در ويندوز8 براي بهبود امنيت افزوده شده است، در چند گزارش و تحليل خواندم که تمامي بدافزارها و ويروسهايي که روي ويندوز7 نصب و اجرا ميشوند، قابليت نصب و اجرا روي ويندوز8 را نيز دارند و کاربران ويندوز8 نبايد تصور کنند که ديگر همه نگرانيهاي امنيتي تمام شده است و با خيال راحت از اينکه يک ضدویروس روي ويندوز8 نصب است، به فکر استفاده از ابزارهاي جانبي و بالا بردن امنيت و رعايت هشدارهاي امنيتي نباشند! نبايد فراموش کنيم که بسياري از مشکلات امنيتي سيستمعامل ويندوز در ساختار سيستمفايلي و هسته است که در اين سالها تغيير نيافته اند.
