Görünen o ki Microsoft eski hatalarından dersini almış ve yeni bir sayfa açmış. Aslında bu çok eski bir bilgi değil 2003 ten yana işlerin bu şekilde olduğunu biliyoruz. IIS6 da bunun en iyi yaşayan canlı örneği.
Bu yenilenme Windows Vista yı iyi yönde etkilemiş ve Vista bugün baştan sona kadar güvenlik ön planda tutularak geliştirilen tek Windows. Bu noktada konu ile daha ilgili arkadaşları SDL' i incelemeye davet ediyorum.
Vista' da gözle görülen bir şey var ki o da klasik bir güvenlik önlemi olan en düşük kullanıcı ile sistemi kullanıp gerekince yönetici hakları ile çalışmak. Bu *nix te çok aktif olarak kullanılan bir pratik ancak çok az Windows kullanıcısı bunu yapar. Bunun en büyük nedenlerinden biri tabii ki diğer Windowsların bu durumu pek takmamasıydı. Vista da ise 'sudo' benzeri bir mantık ta var. Sisteme admin olarak login olsanız da admin yetkisi gereken potansiyel kritik bir şey ile karşılaşınca sizden ekstra onay istiyor veya tekrar şifre soruyor. Yani aslında admin hakları ile çalışmıyorsunuz. Bu da tabii ki Group Policy den değiştirilebilen ve genelde herkesin yaklaşık 3 içerisinde bıkıp değiştirdiği bir özellik.
Bunun yanında bazı gözüme çarpan güvenlik ile ilgili değişklikler,
- Açılışta Güvenlik
'Security by default' yani sistemin varsayılan ilk konfigürasyonun güvenli olması. Örnek olarak Windows XP de firewall vardı ama ilk kurduğunuzda açık değildi. Windows Vista aynı Windows 2003 gibi ilk kurulumunda varsayılan olarak güvenlik seviyesini yukarıda tutuyor.
Windows Defender, Windows Firewall açık, IE Korumalı (Protected) mod' da çalışıyor gibi. Bu gayet güzel bir gelişme. - IE Koruma (Protected) Mod
Windows sistemlerinde spyware deliliğinin en büyük nedenleri IE de güvenlik açıklarıdır. IE parsing engine' ından başlayarak cross-domain kontrollerine kadar tam bir felaket. Bunun üzerine bir ActiveX ler eklenince başlı başına sisteminize Microsoft tarafından konulmuş bir Trojan oluyor. Bugüne kadar o kadar çok yamandı ki artık yeni yamalar çıktığında bazı eski açıklar hortlamaya başladı.
IE' nin sorunları o kadar ciddi ki hemen hemen her zaman IE de yamanmamış bir kod çalıştırma açığı bulabilirsiniz.
Sonuç olarak bu sefer Microsoft IE üzerine biraz daha eğilmiş ve IE 7 güvenlik üzerine ciddi adımlar atmış gibi. Şu kesin yakın dönemde bir dizi IE açığı göreceğiz ama bunun eski listeden oranlama yapılınca az olacağını düşünüyorum ve bence ekstra güvenlik önlemleri almadan IE kullanmak halen E5 te çıplak olarak paten kaymak gibi bir şey. Yani tek sorun kafanızı gözünüzü yaracak olmanız değil bir de sakata geleceksiniz. - Servislerin en düşük gereksinimler ile çalışması
Windows Vista da tüm servisler ne gerekiyorsa o kadar çalışıyor eskisi gibi yüz tane SYSTEM hakkı ile çalışan servis yok. Gene kullanıcı haklarının iyiden öte olması gerektiği gibi uygulandığını görebiliyoruz. - SDL ve İçeri Testler
Dediğimiz gibi Vista SDL (Secure Development Lifecycle) praktiği ile geliştirildi. Bu da güvenliğin tüm süreçte önde olması demek. Bu model yakında çok daha popüler olacak o kesin. İkinci geliştirme güzelliği ise Vista geliştirilirken düzenli şekilde içeriden ve dışarıdan güvenlik penetration tester' ların sistemi test etmeleri.
Dışarıdan penetration testing her black-box ya da white-box her zaman en iyi güvenlik önlemlerinden biridir. - Network Access Protection
Bence ağ yöneticileri için çok güzel özelliklerden biri de bu. Özetle yamaları tamam olmayan, anti-virusleri güncel olmayan vs. sistemlerin ağınıza bağlanmasını engelleyebiliyorsunuz. Ek olarak NAP Client' ı sayesinde Windows XP' lerde bu sistem ile uyumlu çalışabiliyorlar. - GINA Değiştirilmiş
Windows' un Logon Manager' I GINA tamamen yeni bir sistem ile değiştirilmiş. Bu güvenlik amacı ile yapılmamış ama yarın bir gün Vista güvenliği konusuna daha fazla eğilince kesinlikle bilmemiz gereken değişikliklerden biri. - EFS Güzelliği
Encrypting File System, bildiğiniz gibi hard diskteki dataları şifrelemenizi sağlıyor. Her ne kadar çok yüksek bir güvenlik sunmasa da ciddi bir faktör. EFS' deki en önemli değişikliklerden biri artık page file (swap file) - Vista x64 te özel
Zaten x64 olmasından dolayı Vistadan bağımsız olarak sistemin kendi başına ekstradan güvenli olmasını sağlıyor.
Vista NX' i de destekliyor. Bunun harici bir de imzasız sürüclerin yüklenememesi var ki çok kritik olmasa da bu da güzel bir güvenlik önlemi.
Yazıcı Versiyonu
